Sono stati scoperti sette gravi difetti di sicurezza di Thunderbolt, che colpiscono sia le macchine con porte Thunderbolt autonome sia le porte USB-C compatibili con Thunderbolt utilizzate sui moderni Mac.
I difetti consentono a un utente malintenzionato di accedere ai dati sia quando la macchina è bloccata sia quando l’unità è crittografata.
Le vulnerabilità sono presenti in tutte le macchine con porte USB-C compatibili con Thunderbolt e porte Thunderbolt fornite tra il 2011 e il 2020.
Il ricercatore di sicurezza Björn Ruytenberg ha rilevato sette vulnerabilità nei chip Thunderbolt di Intel e nove modi per sfruttarle.
- Schemi di verifica del firmware inadeguati
- Schema di autenticazione del dispositivo debole
- Utilizzo di metadati del dispositivo non autenticati
- Attacco downgrade con retrocompatibilità
- Utilizzo di configurazioni del controller non autenticate
- Carenza dell’interfaccia flash SPI
- Nessuna sicurezza Thunderbolt su Boot Camp
Non è possibile rilevare se una macchina è stata compromessa.
Thunderspy è invisibile, il che significa che non è possibile trovare alcuna traccia dell’attacco. Non richiede il tuo coinvolgimento, ovvero non esiste alcun collegamento di phishing o hardware dannoso che l’hacker ti induca a utilizzare. Thunderspy funziona anche se segui le migliori pratiche di sicurezza bloccando o sospendendo il tuo computer e se l’amministratore di sistema ha impostato il dispositivo con Secure Boot, BIOS sicuro e password dell’account del sistema operativo e abilitato la crittografia del disco completo. Tutto ciò di cui l’aggressore ha bisogno è solo di rimanere 5 minuti solo con il computer, un cacciavite e dell’hardware facilmente trasportabile.
Queste vulnerabilità portano diversi scenari pratici di utilizzo: capacità di creare identità di dispositivi Thunderbolt arbitrarie, clonare dispositivi Thunderbolt autorizzati, ottenere la connettività PCIe per eseguire attacchi DMA e altro.
I Mac sono completamente vulnerabili a tutti i difetti di sicurezza di Thunderbolt quando si esegue Bootcamp e “parzialmente influenzati” quando si esegue macOS.
MacOS utilizza una whitelist curata da Apple al posto dei livelli di sicurezza e la virtualizzazione IOMMU quando è disponibile il supporto hardware e driver. Le vulnerabilità consentono di ignorare la prima misura di protezione e di compromettere completamente l’autenticità dei metadati del dispositivo Thunderbolt in “Informazioni di sistema” di MacOS. Tuttavia, la seconda misura di protezione rimane funzionante e quindi impedisce qualsiasi ulteriore impatto sulla sicurezza del sistema delle vittime tramite DMA. Il sistema diventa vulnerabile ad attacchi simili a BadUSB. Pertanto, MacOS è parzialmente interessato.
Ruytenberg ha informato Intel e Apple delle sue scoperte, ma afferma che non è possibile correggere le vulnerabilità tramite un aggiornamento software.
Leggi o Aggiungi Commenti