Casa ConsumatoriAccessori cliente Dritta! Rivelati i difetti di Thunderbolt: Thunderspy
Accessori clienteConsumatori

Dritta! Rivelati i difetti di Thunderbolt: Thunderspy

by Juan Mulford
scritto da Juan Mulford
Thunderbolt difetti Thunderspy

Già a febbraio, Björn Ruytenberg, uno studente di Master in Informatica e Ingegneria specializzato in Sicurezza delle Informazioni, aveva scoperto e segnalato una serie di falle nei titoli Thunderbolt. Ruytenberg, ha pubblicato un rapporto sulla vulnerabilità di Thunderbolt e ha chiamato questa tecnica di hacking Thunderspy. Thunderspy è una raccolta di vulnerabilità che infrange tutte le principali affermazioni sulla sicurezza di Thunderbolt. In sostanza, Thunderbolt consente di spiare i sistemi, nella maggior parte dei casi, senza che gli utenti se ne accorgano.

Già a febbraio, Björn Ruytenberg, uno studente di Master in Informatica e Ingegneria specializzato in Sicurezza delle Informazioni, aveva scoperto e segnalato una serie di falle nei titoli Thunderbolt. Ruytenberg, ha pubblicato un rapporto sulla vulnerabilità di Thunderbolt e ha chiamato questa tecnica di hacking Thunderspy. Thunderspy è una raccolta di vulnerabilità che infrange tutte le principali affermazioni sulla sicurezza di Thunderbolt. In sostanza, Thunderbolt consente di spiare i sistemi, nella maggior parte dei casi, senza che gli utenti se ne accorgano.

Secondo la ricerca, le vulnerabilità di Thunderbolt potrebbero consentire a un hacker di entrare in un computer e accedere ai suoi dati in pochi minuti. Thunderspy prende di mira i dispositivi dotati di porta Thunderbolt e colpisce qualsiasi PC prodotto prima del 2019 (milioni di PC). Se i computer dispongono di una porta di questo tipo, un utente malintenzionato che ottiene un breve accesso fisico ad essa può leggere e copiare tutti i dati del computer, anche se l'unità è crittografata e il computer è bloccato o impostato in modalità di sospensione, ha affermato il ricercatore.

Thunderbolt difetti Thunderspy

Thunderbolt è un protocollo I/O proprietario sviluppato da Intel (in collaborazione con Apple) che consente la connessione di periferiche esterne a un computer e che consente trasferimenti rapidi di dati. Il protocollo è incluso in diversi laptop, desktop e altri sistemi.

Ruytenberg spiega che, poiché Thunderbolt è un'interconnessione esterna, consente di esporre il dominio PCI Express (PCIe) interno del sistema a dispositivi esterni. “Ciò consente casi d’uso con larghezza di banda elevata e bassa latenza, come le schede grafiche esterne. Essendo basati su PCIe, i dispositivi Thunderbolt possiedono I/O abilitati per l'accesso diretto alla memoria, consentendo l'accesso completo allo stato di un PC e la capacità di leggere e scrivere tutta la memoria di sistema”. Questa capacità ha spinto la ricerca sugli attacchi noti collettivamente come “evil maid”. Un attacco Evil Maid è un attacco a un dispositivo incustodito, in cui un utente malintenzionato con accesso fisico lo altera in modo non rilevabile in modo da poter successivamente accedere al dispositivo o ai dati in esso contenuti.

“Thunderspy è invisibile, il che significa che non è possibile trovare alcuna traccia dell'attacco. Non richiede il tuo coinvolgimento.” Ruytenberg ha detto. “Thunderspy funziona anche se segui le migliori pratiche di sicurezza bloccando o sospendendo il tuo computer quando esci brevemente. E se l'amministratore di sistema ha configurato il dispositivo con Avvio protetto, BIOS avanzato e password dell'account del sistema operativo e ha abilitato la crittografia completa del disco. Questa vulnerabilità significa che un utente malintenzionato ha bisogno solo di un paio di minuti da solo con il computer per ottenere l'accesso e compromettere i dati.

Nello studio, i ricercatori hanno trovato e confermato sperimentalmente molteplici vulnerabilità legate alla sicurezza del protocollo Thunderbolt. I ricercatori hanno rivelato le seguenti vulnerabilità:

  1. Schemi di verifica del firmware inadeguati.
  2. Schema di autenticazione del dispositivo debole.
  3. Utilizzo di metadati del dispositivo non autenticato.
  4. Retrocompatibilità.
  5. Utilizzo di configurazioni di controller non autenticate.
  6. Carenze dell'interfaccia flash SPI.
  7. Nessuna sicurezza Thunderbolt su Boot Camp.

In un video caricato su YouTube (Thunderspy PoC demo 1: Unlocking Windows PC in 5 minuti) le ricerche dimostrano un attacco che sfrutta la variante 5 della vulnerabilità Thunderspy: Utilizzo di configurazioni di controller non autenticate.

https://www.youtube.com/watch?v=7uvSZA1F9os&feature=emb_logo

Intel ha confermato le seguenti vulnerabilità:

  • Tutte e tre le versioni di Thunderbolt sono interessate dalle vulnerabilità Thunderspy.
  • Solo i sistemi che supportano la protezione Kernel DMA mitigano alcune, non tutte, le vulnerabilità di Thunderspy.
  • Solo i sistemi la cui distribuzione è iniziata dal 2019 sono dotati della protezione Kernel DMA.
  • Oltre alla protezione DMA del kernel, Intel non fornirà alcuna mitigazione per risolvere le vulnerabilità di Thunderspy. Pertanto, Intel non assegnerà alcun CVE alle vulnerabilità Thunderspy, né rilascerà avvisi di pubblica sicurezza per informare il pubblico in generale.

I ricercatori hanno affermato che, nonostante i loro ripetuti sforzi, la motivazione alla base della decisione di Intel di non mitigare le vulnerabilità di Thunderspy sui sistemi in-market rimane sconosciuta. “Data la natura di Thunderspy, tuttavia, riteniamo che sarebbe ragionevole supporre che questi problemi non possano essere risolti e richiedano una riprogettazione del silicio. Infatti, per i futuri sistemi che implementeranno la tecnologia Thunderbolt, Intel ha dichiarato che incorporeranno protezioni hardware aggiuntive.

Il problema è che la protezione DMA del kernel è disponibile solo su un numero limitato di sistemi moderni. Questo problema è ancora peggiore per tutti i sistemi rilasciati prima del 2019 e per i sistemi moderni che non forniscono la protezione DMA del kernel. Quelli rimarranno completamente vulnerabili a Thunderspy per sempre.

Sistemi vulnerabili

Pertanto, tutti i sistemi dotati di Thunderbolt spediti tra il 2011 e il 2020 sono vulnerabili. Inoltre, alcuni sistemi che forniscono la protezione Kernel DMA, in distribuzione dal 2019, sono parzialmente vulnerabili. Le vulnerabilità di Thunderspy non possono essere riparate nel software; pertanto, avranno un impatto sugli standard futuri come USB 4 e Thunderbolt 4. Richiedono una riprogettazione del silicio.

Non tutti i sistemi sono interessati, ad esempio quelli che forniscono esclusivamente porte USB-C. Queste porte sono identificate da un simbolo USB, anziché da un simbolo di fulmine. Pertanto, gli utenti dovrebbero fare riferimento ai sistemi interessati per verificare se il loro sistema fornisce porte Thunderbolt o USB-C. Per l’elenco dei dispositivi e sistemi vulnerabili e i consigli di Ruytenberg, controlla il sito web ufficiale di Thunderspy.

Come soluzione alternativa, gli utenti sono fortemente incoraggiati a determinare se sono interessati utilizzando Spycheck, uno strumento gratuito e open source sviluppato da questa iniziativa che verifica se i sistemi sono vulnerabili a Thunderspy. Se un sistema risulta vulnerabile, Spycheck guiderà gli utenti con consigli su come proteggere il proprio sistema.

Riferimento:

https://thunderspy.io/

https://thunderspy.io/assets/reports/breaking-thunderbolt-security-bjorn-ruytenberg-20200417.pd

Discuti su Reddit

Interagisci con StorageReview

Newsletter | YouTube | Podcast iTunes/Spotify | Instagram | Twitter | Facebook | RSS feed

Juan è uno scrittore dello staff di StorageReview, con una vasta esperienza nella gestione dei sistemi di storage aziendale.

Copyright © 1998-2024 Flying Pig Ventures, LLC Cincinnati, Ohio. Tutti i diritti riservati.