Inicio ConsumidoresAccesorios para clientes ¡Aviso! Defectos de Thunderbolt revelados: Thunderspy
Accesorios para clientesConsumidores

¡Aviso! Defectos de Thunderbolt revelados: Thunderspy

by Juan Mulford
escrito por Juan Mulford
Defectos de Thunderbolt Thunderspy

En febrero, Björn Ruytenberg, un estudiante de maestría en Ciencias de la Computación e Ingeniería que se especializa en Seguridad de la Información, descubrió e informó una serie de fallas en los valores de Thunderbolt. Ruytenberg, publicó un informe de vulnerabilidad de Thunderbolt y ha denominado esta técnica de piratería como Thunderspy. Thunderspy es una colección de vulnerabilidades que rompe todos los reclamos de seguridad principales de Thunderbolt. Esencialmente, Thunderbolt permite espiar sistemas, en la mayoría de los casos, sin que los usuarios se den cuenta.

En febrero, Björn Ruytenberg, un estudiante de maestría en Ciencias de la Computación e Ingeniería que se especializa en Seguridad de la Información, descubrió e informó una serie de fallas en los valores de Thunderbolt. Ruytenberg, publicó un informe de vulnerabilidad de Thunderbolt y ha denominado esta técnica de piratería como Thunderspy. Thunderspy es una colección de vulnerabilidades que rompe todos los reclamos de seguridad principales de Thunderbolt. Esencialmente, Thunderbolt permite espiar sistemas, en la mayoría de los casos, sin que los usuarios se den cuenta.

Según la investigación, las vulnerabilidades de Thunderbolt podrían permitir que un hacker ingrese a una computadora y acceda a sus datos en cuestión de minutos. Thunderspy se dirige a dispositivos con un puerto Thunderbolt y afecta a cualquier PC fabricada antes de 2019 (millones de PC). Si las computadoras tienen un puerto de este tipo, un atacante que obtenga un breve acceso físico puede leer y copiar todos los datos de la computadora, incluso si la unidad está encriptada y la computadora está bloqueada o configurada para dormir, dijo el investigador.

Defectos de Thunderbolt Thunderspy

Thunderbolt es un protocolo de E/S patentado desarrollado por Intel (en colaboración con Apple) que permite la conexión de periféricos externos a una computadora y que permite transferencias de datos rápidas. El protocolo está incluido en varias computadoras portátiles, de escritorio y otros sistemas.

Ruytenberg explica que como Thunderbolt es una interconexión externa, permite exponer el dominio PCI Express (PCIe) interno del sistema a dispositivos externos. “Esto permite casos de uso de alto ancho de banda y baja latencia, como tarjetas gráficas externas. Al estar basados ​​en PCIe, los dispositivos Thunderbolt poseen E/S habilitadas para acceso directo a la memoria, lo que permite un acceso completo al estado de una PC y la capacidad de leer y escribir toda la memoria del sistema”. Esa capacidad ha impulsado la investigación de ataques conocidos colectivamente como "sirvienta malvada". Un ataque de sirvienta malvada es un ataque a un dispositivo desatendido, en el que un atacante con acceso físico lo altera de alguna manera indetectable para poder acceder más tarde al dispositivo o a los datos que contiene.

“Thunderspy es sigiloso, lo que significa que no puedes encontrar ningún rastro del ataque. No requiere su participación”. dijo Ruytenberg. “Thunderspy funciona incluso si sigue las mejores prácticas de seguridad bloqueando o suspendiendo su computadora cuando se va brevemente. Y si el administrador de su sistema configuró el dispositivo con Arranque seguro, BIOS sólido y contraseñas de cuenta del sistema operativo, y habilitó el cifrado de disco completo”. Esta vulnerabilidad significa que un atacante solo necesita un par de minutos a solas con la computadora para obtener acceso y comprometer los datos.

En el estudio, los investigadores encontraron y confirmaron experimentalmente múltiples vulnerabilidades relacionadas con la seguridad del protocolo Thunderbolt. Los investigadores revelaron las siguientes vulnerabilidades:

  1. Esquemas de verificación de firmware inadecuados.
  2. Esquema de autenticación de dispositivo débil.
  3. Uso de metadatos de dispositivos no autenticados.
  4. Compatibilidad con versiones anteriores.
  5. Uso de configuraciones de controlador no autenticadas.
  6. Deficiencias de la interfaz flash SPI.
  7. Sin seguridad Thunderbolt en Boot Camp.

En un video subido a YouTube (Thunderspy PoC demo 1: Unlocking Windows PC in 5 minutes), las investigaciones demuestran un ataque que explota la variante 5 de la vulnerabilidad Thunderspy: uso de configuraciones de controlador no autenticadas.

https://www.youtube.com/watch?v=7uvSZA1F9os&feature=emb_logo

Intel ha confirmado las siguientes vulnerabilidades:

  • Las tres versiones de Thunderbolt están afectadas por las vulnerabilidades de Thunderspy.
  • Solo los sistemas que envían Kernel DMA Protection mitigan algunas, no todas, las vulnerabilidades de Thunderspy.
  • Solo los sistemas que comenzaron a enviarse a partir de 2019 vienen con Kernel DMA Protection.
  • Más allá de la protección DMA del kernel, Intel no proporcionará mitigaciones para abordar las vulnerabilidades de Thunderspy. Por lo tanto, Intel no asignará ningún CVE a las vulnerabilidades de Thunderspy ni publicará ningún aviso de seguridad pública para informar al público en general.

Los investigadores afirmaron que, a pesar de sus repetidos esfuerzos, aún se desconoce el fundamento de la decisión de Intel de no mitigar las vulnerabilidades de Thunderspy en los sistemas del mercado. “Sin embargo, dada la naturaleza de Thunderspy, creemos que sería razonable suponer que no se pueden reparar y requieren un rediseño de silicio. De hecho, para los sistemas futuros que implementen la tecnología Thunderbolt, Intel ha declarado que incorporarán protecciones de hardware adicionales”.

El problema con esto es que Kernel DMA Protection solo está disponible en un número limitado de sistemas modernos. Este problema es aún peor para todos los sistemas lanzados antes de 2019 y los sistemas modernos que no incluyen Kernel DMA Protection. Esos seguirán siendo completamente vulnerables a Thunderspy para siempre.

Sistemas vulnerables

Por lo tanto, todos los sistemas equipados con Thunderbolt enviados entre 2011 y 2020 son vulnerables. Y algunos sistemas que brindan Kernel DMA Protection, disponibles desde 2019, son parcialmente vulnerables. Las vulnerabilidades de Thunderspy no se pueden reparar en el software; por lo tanto, tendrán un impacto en estándares futuros como USB 4 y Thunderbolt 4. Requieren un rediseño de silicio.

No todos los sistemas se ven afectados, por ejemplo, los sistemas que proporcionan exclusivamente puertos USB-C. Estos puertos se identifican con un símbolo USB, en lugar de un símbolo de rayo. Por lo tanto, los usuarios deben consultar los sistemas afectados para verificar si su sistema proporciona puertos Thunderbolt o USB-C. Para obtener la lista de dispositivos y sistemas vulnerables y las recomendaciones de Ruytenberg, consulte el sitio web oficial de Thunderspy.

Como solución alternativa, se recomienda encarecidamente a los usuarios que determinen si se ven afectados mediante Spycheck, una herramienta gratuita y de código abierto desarrollada por esta iniciativa que verifica si los sistemas son vulnerables a Thunderspy. Si se determina que un sistema es vulnerable, Spycheck guiará a los usuarios a recomendaciones sobre cómo ayudar a proteger su sistema.

Referencia:

https://thunderspy.io/

https://thunderspy.io/assets/reports/breaking-thunderbolt-security-bjorn-ruytenberg-20200417.pd

Discutir en Reddit

Interactuar con StorageReview

Boletín informativo | Canal de YouTube | Podcast iTunes/Spotify | @Instagram | Twitter | Facebook | RSS Feed

Juan es escritor del personal de StorageReview, con amplia experiencia en la gestión de sistemas de almacenamiento empresarial.

Copyright © 1998-2024 Flying Pig Ventures, LLC Cincinnati, Ohio. Reservados todos los derechos.