Атака Thunderspy затрагивает миллионы ПК, выпущенных до 2019 года.
https://www.securitylab.ru/upload/ib...083577128c.jpg
Специалист Технического университета Эйндховена в Нидерландах https://thunderspy.io/новый метод атаки на компьютеры на базе Windows или Linux с поддержкой порта Thunderbolt, позволяющий взломать устройства менее чем за пять минут.
С помощью новой техники, получившей название Thunderspy, возможно обойти экран авторизации (и даже шифрование жесткого диска) на заблокированных или находящихся в режиме сна компьютерах, изменить настройки безопасности и получить доступ к данным на устройстве. Хотя в большинстве случаев для эксплуатации уязвимости потребуется вскрыть корпус ПК, атака не оставляет следов и занимает всего несколько минут, пояснил автор метода Бьорн Руйтенберг (Björn Ruytenberg).
https://youtu.be/7uvSZA1F9os
Новый метод относится к типу атак известных как «evil maid» («злая горничная»), в которых злоумышленник, имеющий физический доступ к ПК, может обойти локальную аутентификацию. По словам Руйтенберга, пока единственным способом защититься от атаки Thunderspy является отключение порта Thunderbolt.
После выхода https://www.securitylab.ru/news/498140.phpоб атаке Thunderclap, позволяющей украсть информацию непосредственно из памяти ОС с помощью периферийных устройств, компания Intel представила механизм безопасности Kernel DMA Protection, который блокирует подключенные устройства Thunderbolt 3 и не дает им доступа к функции Direct Memory Access до момента, пока не будут выполнен определенный набор процедур.
Данная функция предотвращает атаку Thunderspy, однако проблема заключается в том, что этот механизм отсутствует в ПК, выпущенных до 2019 года, поясняет исследователь. Более того, многие произведенные до 2019 года периферийные устройства Thunderbolt не поддерживают данную технологию.
Специалисты изучили несколько моделей ПК Dell, HP и Lenovo и обнаружили, что в ПК Dell отсутствует функция Kernel DMA Protection (в том числе в устройствах, выпущенных после 2019 года), а в случае HP и Lenovo только несколько моделей используют технологию. Уязвимость не затрагивает компьютеры на базе Apple macOS.
По словам представителей HP, в «большинстве коммерческих ПК мобильных рабочих станций HP с поддержкой Sure Start Gen5 и выше» реализована защита от атак Thunderspy. В Lenovo сообщили, что изучают ситуацию.
Thunderbolt — технология периферийного подключения, разработанная Intel совместно с Apple, которая позволяет передавать данные, видео, аудио и электроэнергию через один порт.
HP Sure Start — технология, разработанная компанией HP (Hewlett-Packard) для защиты BIOS компьютера. Отвечает за безопасность BIOS и включает функцию Dynamic Protection, которая проверяет BIOS не только при изменении состояния устройства, но также в течение дня с регулярными интервалами.