Thunderspy: chyba rozhraní Thunderbolt ohrožuje bezpečnost mnoha PC
12.5.2020, Milan Šurkala, aktualita
Bezpečnost počítačů je poslední dobou stále větším tématem a ukazuje se, že bezpečnostních děr je tu opravdu hodně. Problematické totiž může být i rozhraní Thunderbolt, kterým lze napadnout PC a obejít různé ochrany dat.
Poslední dobou tu máme jeden bezpečnostní problém za druhým a Björn Ruytenberg z Eindhoven University of Technology "objevil" bezpečnostní díru v rozhraní Thunderbolt, které dovoluje velmi rychlé datové přenosy z kompatibilních periférií rychlostí až 40 Gb/s. Toho dosahuje i díky přímému přístupu do paměti (DMA), čehož se pokusil využít pro demonstraci útoku na zaheslovaný počítač. Útok nese název Thunderspy a dokáže dostat útočníka do zaheslovaného počítače, případně i k datům na zašifrovaném disku. Celý útok se správným vybavením zabere asi 5 minut, nicméně vyžaduje přístup k hardwaru.
I když jde v zásadě o nový útok, jeho řešení už existuje. Před rokem se totiž objevil jiný bezpečnostní nedostatek Thunderclap, pro jehož vyřešení Intel vyvinul ochranný systém Kernel Direct Memory Access Protection, který rovněž zabraňuje útoku Thunderspy. Problémem nicméně je, že tento systém vznikl v roce 2019 a počítače z tohoto roku a starší jej nemají, jsou tedy zranitelné a neexistuje pro ně žádná oprava. Dokonce ani podpora na nových strojích není zrovna příkladná, zdaleka ji nenabízí všichni výrobci a disponují ji např. notebooky HP a Lenovo. V případě Dellu je funkční při aktivaci SecureBoot. Počítače Apple, které mají Thunderbolt už hodně dlouho, jsou také částečně zranitelné.
Kernel DMA Protection je podporován moderními operačními systémy Windows (od Windows 10 1803 RS4), Linux (od kernelu 5.x) a MacOS (od verze MacOS 10.12.4). Záleží však na hardwaru, zda tuto funkci také podporuje a jak už bylo řečeno, týká se to jen některých PC od roku 2019. Její aktivace navíc může způsobovat problémy s kompatibilitou některých periférií. Aby toho nebylo málo, řeší sice problémy s DMA přístupy, ale neřeší další zranitelnosti podobného typu jako BadUSB.
Firmy sice radí používat jen ověřené periférie s Thunderboltem, ale tato rada útočníka asi moc pálit nebude. Další rada zní neuspávat počítače, ale vypínat je, nebo je alespoň nechat hibernovat, protože tehdy si nelze hrát s obsahem RAM paměti přes DMA (je prázdná). Dalším způsobem je úplně zakázat Thunderbolt v UEFI (BIOSu), jenže to odstaví i USB a DisplayPort. Port tak zachová už jen funkci nabíjení.
