Ο Ολλανδός ερευνητής Björn Ruytenberg από το Πανεπιστήμιο Τεχνολογίας του Eindhoven ανακάλυψε μία νέα ευπάθεια στις υποδοχές Thunderbolt που επιτρέπει σε επιτιθέμενους με φυσική πρόσβαση σε έναν υπολογιστή με Windows ή με λειτουργικό σύστημα που βασίζεται στον kernel του Linux να τον «ξεκλειδώσουν» σε λιγότερο από πέντε λεπτά.
Ο ερευνητής ανακάλυψε μία μέθοδο που ονομάζει «Thunderspy» με την οποία μπορεί να παρακάμψει την οθόνη σύνδεσης (login screen) οποιουδήποτε υπολογιστή, αν και όπως αναφέραμε απαιτείται φυσική πρόσβαση στο «μηχάνημα». Το Thunderbolt είναι ένα γρήγορο πρωτόκολλο, και αυτό οφείλεται κατά μέρος στο γεγονός ότι έχει άμεση πρόσβαση στη μνήμη του υπολογιστή, και οτιδήποτε μπορεί να έχει άμεση πρόσβαση στη μνήμη αποτελεί δυνητική ευπάθεια. Η μέθοδος «Thunderspy» βασίζεται ακριβώς σε αυτό το πράγμα.
Υπάρχει ένα χαρακτηριστικό στο firmware της θύρας Thunderbolt που ονομάζεται «Security Level» που αποτρέπει την πρόσβαση σε συσκευές που δεν είναι έμπιστες ή ακόμα και απενεργοποιεί την υποδοχή Thunderbolt εφόσον κριθεί απαραίτητο. Το χαρακτηριστικό για παράδειγμα μπορεί να κάνει μία θύρα Thunderbolt να λειτουργεί απλώς ως μία έξοδο εικόνας ή ως μία απλή θύρα USB. Παρόλα αυτά, ο ερευνητής βρήκε ένα τρόπο να παραποιήσει με τέτοιο τρόπο το firmware του ελεγκτή Thunderbolt ώστε να επιτρέπει σε οποιαδήποτε συσκευή να έχει πρόσβαση στον υπολογιστή.
Η διαδικασία, που ονόμασε «evil maid attack» (ως reference στην επίθεση που μπορεί να πραγματοποιήσει κάποιος που έχει φυσική πρόσβαση στον υπολογιστή που βρίσκεται στο δωμάτιο ενός ξενοδοχείου για παράδειγμα) πραγματοποιείται χωρίς να αφήσει το παραμικρό ίχνος και χωρίς το λειτουργικό σύστημα να μπορεί να ανιχνεύσει την αλλαγή. Από εκεί και πέρα, χρησιμοποιώντας έναν SPI programmer (Serial Peripheral Interface) με ένα SOP8 κλιπ που συνδέεται τους ακροδέκτες του programmer με τον ελεγκτή, ο επιτιθέμενος μπορεί να τρέξει το script του και να αποκτήσει πρόσβαση στον υπολογιστή. Η διαδικασία απαιτεί hardware (τον SPI programmer μαζί με ένα περιφερειακό Thunderbolt) αξίας περίπου $400.
Η Intel έχει ανακοινώσει το Kernel Direct Memory Access Protection από πέρυσι για τις θύρες Thunderbolt ως πρόσθετη προστασία και το οποίο αποτρέπει τέτοιες επιθέσεις, όμως το χαρακτηριστικό δεν έχει ενσωματωθεί στους υπολογιστές που κατασκευάστηκαν πριν από το 2019. Επιπλέον, δεν είναι εξασφαλισμένο ότι όλοι οι κατασκευαστές το έχουν ενσωματώσει στα PCs που διέθεσαν μετά το 2019, οπότε το πιθανότερο είναι να υπάρχουν πολλοί υπολογιστές με τη συγκεκριμένη ευπάθεια, η οποία είναι αδύνατον να διορθωθεί.
Αξίζει να αναφέρουμε ότι οι υπολογιστές της Apple που «τρέχουν» macOS δεν επηρεάζονται από την ευπάθεια, εκτός και αν «τρέχουν» Boot Camp σύμφωνα με τον Björn Ruytenberg. Να υπενθυμίσουμε, ότι ούτε οι υπολογιστές Surface της Microsoft διαθέτουν θύρες Thunderbolt, για λόγους ασφαλείας όπως ισχυρίζεται η εταιρεία. Για να μάθετε αν ο υπολογιστής σας είναι ευπαθείς σε τέτοιου είδους επιθέσεις, μπορείτε να «τρέξετε» το verification tool που δημιούργησε με την ονομασία Spycheck.
Πηγή: insomnia.gr
(Κώστας Παπαζαχαρίου, αναδημοσίευση 12/5/2020)
Join the Conversation →