Semana de la seguridad 20: piratear una computadora a través de Thunderbolt

Durante mucho tiempo en nuestro resumen no hubo estudios provocativos sobre vulnerabilidades de hardware. El investigador holandés Bjorn Rutenberg encontró siete agujeros en los controladores Thunderbolt ( sitio del proyecto, trabajo científico , artículo de revisión en Wired). De una forma u otra, todas las vulnerabilidades le permiten evitar los sistemas clave de protección de computadoras y computadoras portátiles si logra obtener acceso físico a ellas. En general, deberá desmontar el dispositivo para acceder al chip de memoria flash con el firmware del controlador Thunderbolt. Cambiar el firmware elimina todos los niveles de seguridad y permite acceder directamente a la RAM desde un dispositivo externo arbitrario.

Todas las computadoras con un controlador Thunderbolt lanzado antes de 2019 afectan las vulnerabilidades. El año pasado, Intel, el desarrollador principal de la interfaz, implementó el método Kernel DMA Protection, que hace imposible un ataque. La introducción de esta capa de protección requiere cambios de hardware y, por lo tanto, solo está disponible en dispositivos lanzados recientemente, y no en todos.

El investigador no encontró nuevas computadoras portátiles Dell con Kernel DMA Protection, aunque las computadoras portátiles Lenovo y HP que también se lanzaron el año pasado usan este sistema. El daño potencial de cualquier vulnerabilidad que requiera acceso físico al hardware es pequeño, pero la historia se ha desarrollado (no muy) hermosa. Después de todo, no se puede decir que hasta 2019 los sistemas de protección Thunderbolt no estuvieran en los dispositivos. El trabajo de Ryutenberg demostró que no siempre funcionan.


El autor del estudio muestra el algoritmo de ataque en el video anterior: en solo cinco minutos, Ryutenberg logró evitar la pantalla de bloqueo de Windows. En realidad, puedes hacerlo aún más rápido: un atacante no necesita tomarse fotos y dar explicaciones.

En una computadora portátil Lenovo ThinkPad P1, el investigador actualiza el controlador Thunderbolt, bajando el nivel de seguridad. Solo hay cuatro: en modo SL3, en principio, el acceso directo de dispositivos externos a la RAM es imposible. El modo SL1 se usa por defecto en la mayoría de las computadoras portátiles y enciende DMA después de la autorización. Volver a flashear el controlador restablece la configuración a SL0: en este modo, todos los dispositivos tienen acceso a la memoria sin autorización.

¿El controlador verifica la autenticidad de su propio firmware? Sí, verifica, pero solo cuando se actualiza el software utilizando métodos regulares, por ejemplo, enviando actualizaciones al fabricante. No se detecta el programador flash SPI directo del chip de firmware. Lo más interesante es que con dicho firmware es posible bloquear actualizaciones adicionales, haciendo que la computadora sea permanentemente vulnerable.

Un ataque es posible debido a un reinicio forzado del nivel de seguridad, así como a una serie de otras omisiones en la protección de Thunderbolt, por ejemplo, en forma de compatibilidad obligatoria de los controladores Thunderbolt 3 con la versión anterior de la interfaz, donde no hay métodos de protección más serios. Y en las computadoras portátiles Apple, el modo SL0 es forzado, si usa la función Bootcamp para arrancar Windows o Linux, ni siquiera necesita flashear nada. En el sitio web del proyecto, el autor publicó el código de las herramientas de ataque, así como una utilidad para verificar la computadora con Thunderbolt.

¿Es esta una vulnerabilidad peligrosa? En general, no muy: en Windows y en el software de consumo, encuentran problemas locales con escalada de privilegios, a veces proporcionando un resultado similar sin usar un soldador . Pero el ataque resultó hermoso, al estilo de las películas de James Bond. En la prueba de concepto, el investigador utiliza un diseño bastante engorroso para conectarse a una computadora, pero si tiene los medios y el deseo, también puede hacer un dispositivo en miniatura, una especie de programador con notas de espionaje.

El trabajo fue sometido a la crítica esperada: si vuelve a colocar el hierro, puede hacer cualquier cosa con él. Sí, pero tales estudios a menudo se limitan a una descripción teórica de las vulnerabilidades, y aquí se muestra un ataque práctico. También se encontrarán contramedidas contra dicho pirateo, hasta la inundación de puertos y microcircuitos con resina epoxi. Pero en un mundo ideal no debería haber escapatorias para un parpadeo tan simple del dispositivo. Se puede discutir sobre la justificación de métodos de seguridad adicionales, pero existen y se aplican. Solo que no en este caso.

Que mas paso

La cuenta de Microsoft GitHub probablemente fue pirateada . Se robaron 500 gigabytes de datos, pero aún no está claro cuáles serán las consecuencias. La muestra de gigabytes publicada por los crackers no brilla con calidad y ni siquiera confirma realmente que fue Microsoft el que fue pirateado. Otra fuga importante ocurrió en el registrador GoDaddy: los datos de 28 mil clientes fueron robados.

Las conferencias Black Hat y DEF CON, celebradas tradicionalmente en los Estados Unidos en agosto, se cancelarán este año, pero se realizarán en línea.

Zoom ha adquirido Keybase, una startup criptográfica. La primera adquisición en la historia de la compañía se realizó para implementar el cifrado de extremo a extremo de las conferencias web.

Se cierra el siguiente conjunto de parches para la plataforma AndroidVarias vulnerabilidades graves en Media Framework. Uno de ellos se puede utilizar para ejecutar remotamente código arbitrario.

La compañía Pen Test Partners investigó el algoritmo del sistema TCAS, que evita el acercamiento peligroso de los aviones. Y mostraron un ejemplo de un ataque que involucra la introducción de comunicaciones de radio, así como la creación de un objeto inexistente. En teoría, es posible obligar a los pilotos a realizar maniobras que suponen un riesgo real de seguridad en un intento de evitar una colisión con un avión "virtual".