Intel | Hacking | Thunderbolt

Intel má problém. Zranitelný Thunderbolt útočníkům zpřístupní všechna data, i šifrovaná

  • Intel má děravé Thunderbolty 1, 2 a 3
  • Chybu částečně opravil loni, ale není dostupná všude
  • Thunderspy umožňuje nabourat se do PC i bez hesla

Výzkumník Björn Ruytenberg z Technické univerzity v Eindhovenu objevil další možnost, jak se nabourat do počítačů s rozhraním Intel Thunderbolt. Díra nazvaná Thunderspy sestává ze sedmi chyb přítomných v Thunderboltech 1, 2 a 3, které útočníkům umožní dostat se do zamknutého počítače a číst data i tam, kde je zapnuto šifrování. Postižena jsou všechna zařízení vyrobená před rokem 2019, ale i některá ta uvedená později.

Útok je dle Ruytenberga relativně triviální, avšak vyžaduje přímý přístup k počítači, nelze jej provést na dálku. Sám jej ukazuje na příkladu, kterak během pěti minut obešel ochranu Windows 10 na notebooku Lenovo ThinkPad P1 a dostal se do systému i bez hesla. Odmontoval zadní kryt a připojil SPI programátor, kterým flashnul firmware řadiče Thunderboltu.  A protože Thunderbolt využívá přímý přístup do paměti (DMA), mohl z ní dolovat data a obejít přihlašovací obrazovku systému. Útok nelze zpětně vystopovat.

Pro magazín Wired Ruytenberg řekl, že hackovací pomůcky jej stále asi 400 dolarů. Existuje navíc i dražší a neinvazivní možnost nabourání. Lze totiž vytvořit zařízení o velikosti flashky, která se zapojí přímo do Thunderboltu i bez přístupu k základní desce. V takovém případě by ale musely být v systému nastaveny externí periferie jako důvěryhodné.

Výzkumník informoval Intel letos v únoru. Ten však s chybou zřejmě nic nezmůže. Podle Ruytenberga je chyba přímo v hardwarovém návrhu a nelze ji záplatovat softwarově. Intel na svém blogu tvrdí, že zranitelnost není nová (využíval ji už Thunderclap), změnil se jen vektor útoku. Opravu vydal loni, je však dostupná jen na nových počítačích, a ty ještě musí navíc obsahovat zvláštní BIOS/UEFI a systémovou podporu Kernel DMA Protection. Ani některé novější počítače přitom chybu neopravují. Jestli je zařízení postiženo, můžete vyzkoušet pomocí oficiálního nástroje Spycheck.

Ruytenberg není s reakcí a přístupem Intelu spokojený a říká, že chyba by mohla potenciálně ohrozit i nové rozhraní USB4 stojící právě na třetí generaci Thunderboltu. Jeho výzkum ale nadále probíhá a po medializaci problému je už v kontaktu i s výrobci počítačů a tvůrci operačních systémů. Intelem dodaný Kernel DMA Protection totiž není všespásný a stále ponechává některé zranitelnosti.

Thunderspy ohrožuje počítače s Windows, Linuxem a částečně i macOS. Nejúčinnější ochranou je Thunderbolt deaktivovat v BIOSu. Pokud už jej musíte používat a chcete se chránit, Ruytenberg zdůrazňuje několik bodů:

  • Šifrujte data na disku.
  • Připojujte jen své periferie a nikomu je nepůjčujte.
  • Nenechávejte počítač zapnutý ani zamknutý bez dozoru.
  • Počítač vypínejte nebo hibernujte, nikdy neuspávejte. V takovém režimu zůstává obsah uložený v RAM, a je tedy pro útočníky přístupný navzdory šifrování.
Diskuze (19) Další článek: 201 epizod seriálu Kancl můžete sledovat na Slacku v podobě vnitrofiremní komunikace

Témata článku: , , , , , , , , , , , , , ,