Semana 20 de segurança: invadir um computador através do Thunderbolt

Por um longo tempo em nosso resumo, não houve estudos provocativos sobre vulnerabilidades de hardware. O pesquisador holandês Bjorn Rutenberg encontrou sete buracos nos controladores Thunderbolt ( local do projeto, trabalho científico , artigo de revisão na Wired). De uma forma ou de outra, todas as vulnerabilidades permitem ignorar os principais sistemas de proteção de computadores e laptops, se você conseguir obter acesso físico a ele. Em geral, você precisa desmontar o dispositivo para acessar o chip de memória flash com o firmware do controlador Thunderbolt. A alteração do firmware remove todos os níveis de segurança e possibilita o acesso direto à RAM de um dispositivo externo arbitrário.

As vulnerabilidades são afetadas por todos os computadores com um controlador Thunderbolt lançado antes de 2019. No ano passado, a Intel, desenvolvedora principal da interface, implementou o método Kernel DMA Protection, que impossibilita um ataque. A introdução dessa camada de proteção requer alterações de hardware e, portanto, só está disponível em dispositivos lançados recentemente, e não em todos.

O pesquisador não encontrou laptops novos da Dell com Kernel DMA Protection, embora os laptops Lenovo e HP que também foram lançados no ano passado usem esse sistema. O dano potencial de qualquer vulnerabilidade que exija acesso físico ao hardware é pequeno, mas a história se desenvolveu (não muito). Afinal, não se pode dizer que até 2019 os sistemas de proteção Thunderbolt não estavam nos dispositivos. O trabalho de Ryutenberg mostrou que eles nem sempre funcionam.


O autor do estudo mostra o algoritmo de ataque no vídeo acima: em apenas cinco minutos, Ryutenberg conseguiu desviar a tela de bloqueio do Windows. Na realidade, você pode fazer isso ainda mais rápido: um invasor não precisa tirar fotos de si mesmo e dar explicações.

Em um laptop Lenovo ThinkPad P1, o pesquisador atualiza novamente o controlador Thunderbolt, diminuindo o nível de segurança. Existem apenas quatro deles: no modo SL3, em princípio, o acesso direto de dispositivos externos à RAM é impossível. O modo SL1 é usado por padrão na maioria dos laptops e ativa o DMA após a autorização. Voltar a piscar o controlador redefine as configurações para SL0 - nesse modo, todos os dispositivos têm acesso à memória sem autorização.

O controlador verifica a autenticidade de seu próprio firmware? Sim, verifica - mas apenas ao atualizar o software usando métodos regulares, por exemplo, enviando atualizações ao fabricante. O programador de flash SPI do chip de firmware direto não é detectado. O mais interessante é que, com esse firmware, é possível bloquear outras atualizações, tornando o computador permanentemente vulnerável.

O ataque é possível devido a uma redefinição forçada do nível de segurança, além de várias outras omissões na proteção do Thunderbolt - por exemplo, na forma de compatibilidade obrigatória dos controladores Thunderbolt 3 com a versão anterior da interface, onde não há métodos de proteção mais sérios. E nos laptops da Apple, o modo SL0 é forçado, se você usar a função Bootcamp para inicializar o Windows ou Linux - você nem precisa piscar nada. No site do projeto, o autor postou o código das ferramentas de ataque, além de um utilitário para verificar o computador com o Thunderbolt.

Esta é uma vulnerabilidade perigosa? Em geral, não muito: no Windows e no software de consumo, eles regularmente encontram problemas locais com escalonamento de privilégios, às vezes fornecendo um resultado semelhante sem usar um ferro de soldar . Mas o ataque acabou bonito, no estilo dos filmes de James Bond. Na prova de conceito, o pesquisador usa um design bastante complicado para conectar-se a um computador, mas se você tiver os meios e o desejo, também poderá criar um dispositivo em miniatura, uma espécie de programador com notas de espionagem.

O trabalho foi submetido às críticas esperadas: se você repassar o ferro, poderá fazer qualquer coisa com ele. Sim, mas esses estudos geralmente se limitam a uma descrição teórica das vulnerabilidades, e um ataque prático é mostrado aqui. Contramedidas contra esse tipo de invasão também serão encontradas, até a inundação de portos e microcircuitos com resina epóxi. Mas, em um mundo ideal, não deve haver brechas para um piscar tão simples do dispositivo. Pode-se argumentar sobre a justificativa de métodos de segurança adicionais, mas eles existem e são aplicados. Apenas não neste caso.

O que mais aconteceu

A conta do GitHub da Microsoft provavelmente foi hackeada . 500 gigabytes de dados foram roubados, mas ainda não está claro quais serão as consequências. A amostra de gigabytes publicada por crackers não brilha com qualidade e nem confirma realmente que foi a Microsoft que foi hackeada. Outro grande vazamento ocorreu no registrador GoDaddy - os dados de 28 mil clientes foram roubados.

As conferências Black Hat e DEF CON, tradicionalmente realizadas nos EUA em agosto, serão canceladas este ano, mas serão realizadas on-line.

O Zoom adquiriu a Keybase, uma startup de criptografia. A primeira aquisição na história da empresa foi feita para implementar a criptografia de ponta a ponta da conferência na web.

O próximo conjunto de correções para a plataforma Android fechaVárias vulnerabilidades graves no Media Framework. Um deles pode ser usado para executar remotamente código arbitrário.

A empresa Pen Test Partners investigou o algoritmo do sistema TCAS, que impede a abordagem perigosa das aeronaves. E eles mostraram um exemplo de ataque envolvendo a introdução de rádio, bem como a criação de um objeto inexistente. Em teoria, é possível forçar os pilotos a fazer manobras que representam um risco real à segurança, na tentativa de evitar uma colisão com uma aeronave "virtual".