Thunderspy: Проверка устройств на уязвимости Thunderbolt

2020-05-12 2027 комментарии
Уязвимостям Thunderbolt подвержены все операционные системы Windows, от Windows 7 до Windows 10, а также системы Linux с версией ядра 4.13 или выше. Системы macOS подвержены уязвимостям лишь частично

17 апреля 2020 года специалист по кибербезопасности Бьорн Рутенберг (Bjorn Ruytenberg) опубликовал результаты анализа безопасности протокола Thunderbolt под заголовком «Нарушения безопасности протокола Thunderbolt: отчет об уязвимостях» (в ориг. «Breaking Thunderbolt Protocol Security: Vulnerability Report»). Он обнаружил несколько уязвимостей безопасности протокола Thunderbolt, которые могут эксплуатироваться злоумышленниками с локальным доступом к целевой системе. Хакеры могут получит доступ к данным даже на зашифрованных дисках, когда компьютер заблокирован или находится в спящем режиме.

Всего в отчете фигурирует семь различных уязвимостей, которые затрагивают «компьютеры и ноутбуки, оснащенные хост-контроллером портов Thunderbolt 2 и/или Thunderbird 3». Уязвимостям Thunderbolt подвержены все операционные системы Windows, от Windows 7 до Windows 10, а также системы Linux с версией ядра 4.13 или выше. Системы macOS подвержены уязвимостям лишь частично по причине интеграции дополнительных мер безопасности.

Примечание

Компания Intel заявила, что новые версии Windows 10, macOS X и Linux поддерживают защиту прямого доступа к памяти (Direct Memory Access, DMA), которая позволяет уменьшить риски атак, описанных в отчете.

Microsoft опубликовала отдельную статью по этому поводу на портале Microsoft Docs. В системах Windows 10 версии 1803 или выше, администраторы могут перейти в меню Пуск > Параметры > Обновление и безопасность > Безопасность Windows > Открыть службу «Безопасность Windows» > Безопасность устройства > Сведения об изоляции ядра > Защита доступа к памяти для проверки состояния защиты. Функция должна поддерживаться прошивкой UEFI. Кроме того, она не совместима с другими методами защиты от атак BitLocker DMA.

Spycheck

Программа Spycheck для проверки уязвимостей Thunderspy была создана тем же специалистом, который занимался анализом устройств с портами Thunderbolt. Приложение доступно для систем Windows и Linux. Версия для Windows совместима с Windows 7 и более новыми версиями Windows. Версия для Linux поддерживает системы Linux на базе ядра 3.16 или выше, а для ее работы требуется Python 3.4 или выше.

Скачать Spycheck

Thunderspy Spycheck

При запуске программа предлагает указать порты устройства. Это могут быть порты USB-C или Mini-DisplayPort с символом молнии или без него. После выбора порта, нажмите кнопку Next, чтобы проверить порт. Устройства без Thunderbolt будут автоматически отображаться как «неуязвимые». В случае обнаружения уязвимостей, программа предложит решения по исправления проблем безопасности.

Исследователь создал демонстрационные видеоролики. На одном из них показано, как можно разблокировать компьютер Windows за 5 минут за счет успешной эксплуатации уязвимостей.

На втором видео показано, как отключить все меры безопасности Thunderbolt на компьютере Windows.

А вы используете устройства с портами Thunderbolt? Оказались ли они уязвимыми?

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?