Semaine de la sécurité 20: piratage d'un ordinateur via Thunderbolt

Pendant longtemps dans notre résumé, il n'y a eu aucune étude provocatrice sur les vulnérabilités matérielles. Le chercheur néerlandais Bjorn Rutenberg a découvert sept trous dans les contrôleurs Thunderbolt ( site du projet, travaux scientifiques , article de revue dans Wired). D'une manière ou d'une autre, toutes les vulnérabilités vous permettent de contourner les principaux systèmes de protection des ordinateurs et des ordinateurs portables si vous parvenez à y accéder physiquement. En général, vous devrez démonter l'appareil afin d'accéder à la puce de mémoire flash avec le firmware du contrôleur Thunderbolt. La modification du firmware supprime tous les niveaux de sécurité et permet d'accéder directement à la RAM à partir d'un périphérique externe arbitraire.

Les vulnérabilités sont affectées par tous les ordinateurs dotés d'un contrôleur Thunderbolt publié avant 2019. L'année dernière, Intel, le développeur principal de l'interface, a implémenté la méthode de protection DMA du noyau, ce qui rend une attaque impossible. L'introduction de cette couche de protection nécessite des modifications matérielles et n'est donc disponible que dans les appareils commercialisés récemment, et pas tous.

Le chercheur n'a pas trouvé de nouveaux ordinateurs portables Dell avec protection DMA du noyau, bien que les ordinateurs portables Lenovo et HP qui ont également été lancés l'année dernière utilisent ce système. Les dommages potentiels de toute vulnérabilité nécessitant un accès physique au matériel sont faibles, mais l'histoire s'est développée (pas très) belle. Après tout, on ne peut pas dire que jusqu'en 2019, les systèmes de protection Thunderbolt n'étaient pas dans les appareils. Le travail de Ryutenberg a montré qu'ils ne fonctionnent pas toujours.


L'auteur de l'étude montre l'algorithme d'attaque dans la vidéo ci-dessus: en seulement cinq minutes, Ryutenberg a réussi à contourner l'écran de verrouillage de Windows. En réalité, vous pouvez le faire encore plus rapidement: un attaquant n'a pas besoin de se prendre en photo et de donner des explications.

Sur un ordinateur portable Lenovo ThinkPad P1, le chercheur reflasher le contrôleur Thunderbolt, abaissant le niveau de sécurité. Il n'y en a que quatre: en mode SL3, en principe, l'accès direct des périphériques externes à la RAM est impossible. Le mode SL1 est utilisé par défaut sur la plupart des ordinateurs portables et active le DMA après autorisation. Un nouveau clignotement du contrôleur réinitialise les paramètres sur SL0 - dans ce mode, tous les appareils ont accès à la mémoire sans autorisation.

Le contrôleur vérifie-t-il l'authenticité de son propre firmware? Oui, il vérifie - mais uniquement lors de la mise à jour du logiciel à l'aide de méthodes régulières, par exemple en envoyant des mises à jour au fabricant. Le programmateur flash SPI à puce de micrologiciel direct n'est pas détecté. La chose la plus intéressante est qu'avec un tel firmware, il est possible de bloquer d'autres mises à jour, ce qui rend l'ordinateur vulnérable en permanence.

Une attaque est possible en raison d'une réinitialisation forcée du niveau de sécurité, ainsi que d'un certain nombre d'autres omissions dans la protection de Thunderbolt - par exemple, sous la forme d'une compatibilité obligatoire des contrôleurs Thunderbolt 3 avec la version précédente de l'interface, où il n'y a pas de méthodes de protection plus sérieuses. Et sur les ordinateurs portables Apple, le mode SL0 est forcé, si vous utilisez la fonction Bootcamp pour démarrer Windows ou Linux - vous n'avez même pas besoin de flasher quoi que ce soit. Sur le site Web du projet, l'auteur a publié le code des outils d'attaque, ainsi qu'un utilitaire pour vérifier l'ordinateur avec Thunderbolt.

Est-ce une vulnérabilité dangereuse? En général, pas très: dans Windows et les logiciels grand public, ils rencontrent régulièrement des problèmes locaux avec une élévation de privilèges, fournissant parfois un résultat similaire sans utiliser de fer à souder . Mais l'attaque s'est avérée belle, à la manière des films de James Bond. Dans la preuve de concept, le chercheur utilise une conception plutôt encombrante pour se connecter à un ordinateur, mais si vous avez les moyens et le désir, vous pouvez également faire un appareil miniature, une sorte de programmeur avec des notes d'espionnage.

Le travail a été soumis à la critique attendue: si vous reflasher le fer, vous pouvez tout faire avec. Oui, mais ces études se limitent souvent à une description théorique des vulnérabilités, et une attaque pratique est présentée ici. On trouvera également des contre-mesures contre un tel piratage, jusqu'à l'inondation des ports et des microcircuits avec de la résine époxy. Mais dans un monde idéal, il ne devrait y avoir aucune faille pour un clignotement aussi simple de l'appareil. On peut discuter de la justification de méthodes de sécurité supplémentaires, mais elles existent et sont appliquées. Mais pas dans ce cas.

Que s'est-il passé d'autre

Le compte GitHub de Microsoft a probablement été piraté . 500 gigaoctets de données ont été volés, mais les conséquences ne seront pas encore claires. L'échantillon de gigaoctets publié par les crackers ne brille pas avec la qualité et ne confirme même pas vraiment que c'est Microsoft qui a été piraté. Une autre fuite majeure s'est produite au bureau d'enregistrement de GoDaddy - les données sur 28 000 clients ont été volées.

Les conférences Black Hat et DEF CON, qui se tiennent traditionnellement aux États-Unis en août, seront annulées cette année mais se tiendront en ligne.

Zoom a acquis Keybase, une startup cryptographique. La première prise de contrôle dans l'histoire de l'entreprise a été réalisée pour implémenter le chiffrement de bout en bout des conférences Web.

La prochaine série de correctifs pour la plate-forme Android se fermePlusieurs vulnérabilités graves dans le Media Framework. L'un d'eux peut être utilisé pour exécuter à distance du code arbitraire.

La société Pen Test Partners a étudié l' algorithme du système TCAS, qui empêche l'approche dangereuse des avions. Et ils ont montré un exemple d'attaque impliquant l'introduction de radiocommunications, ainsi que la création d'un objet inexistant. En théorie, il est possible de forcer les pilotes à effectuer des manœuvres qui présentent un réel risque pour la sécurité afin d'éviter une collision avec un avion «virtuel».