Explotando ThunderSpy – la vulnerabilidad que afectan a todas las computadoras con Thunderbolt

Un investigador de ciberseguridad descubrió un conjunto de 7 nuevas vulnerabilidades de hardware que no se pueden reparar. Dichas vulnerabilidades afectan a todos los equipos de escritorio y portátiles vendidos en los últimos 9 años con Thunderbolt o puertos USB-C compatibles con Thunderbolt.

Llamadas colectivamente ‘ThunderSpy‘, las vulnerabilidades pueden explotarse en 9 entornos realistas de ataques, principalmente para robar datos o leer/escribir toda la memoria del sistema. Todo esto desde una computadora bloqueada o inactiva, incluso cuando las unidades están protegidas con cifrado de disco completo.

En pocas palabras, si crees que alguien con unos minutos de acceso físico a tu computadora, independientemente de la ubicación, puede causarte algún tipo de daño significativo, corres el riesgo de un ataque evil-maid.

Según Björn Ruytenberg de la Universidad Tecnológica de Eindhoven, el ataque ThunderSpy” puede requerir abrir la carcasa de una computadora portátil objetivo con un destornillador. Empero, no deja rastro de intrusión y se puede quitar en solo unos minutos”.

En otras palabras, la falla no está vinculada a la actividad de la red ni a ningún componente relacionado, por lo que no se puede explotar de forma remota.

“Thunderspy funciona incluso si sigues las mejores prácticas de seguridad al bloquear o suspender tu computadora al salir brevemente. Funciona si el administrador de tu sistema ha configurado el dispositivo con arranque seguro, contraseñas seguras de BIOS y sistema operativo. Asimismo, si ha habilitado el cifrado de disco completo”. Afirmó el investigador.

Además de cualquier computadora con sistemas operativos Windows o Linux, las MacBook de Apple con tecnología Thunderbolt también son vulnerables. Excepto las versiones de retina.  Aunque las vendidas desde 2011, también son vulnerables al ataque de Thunderspy, pero en parte.

Vulnerabilidades de ThunderSpy

La siguiente lista de siete vulnerabilidades de Thunderspy afecta a las versiones 1, 2 y 3 de Thunderbolt. Estas pueden explotarse para crear identidades arbitrarias de dispositivos, clonar dispositivos Thunderbolt autorizados por el usuario y, finalmente, obtener conectividad PCIe para realizar ataques DMA.

Las vulnerabilidades son:

  • Esquemas de verificación de firmware inadecuados
  • Esquema de autenticación de dispositivo débil
  • Uso de metadatos de dispositivos no autenticados
  • Ataque de degradación utilizando compatibilidad con versiones anteriores
  • Uso de configuraciones de controlador no autenticadas
  • Deficiencias de la interfaz flash SPI
  • No hay seguridad de Thunderbolt en Boot Camp

Para aquellos que no lo saben, los ataques de acceso directo a memoria (DMA) contra el puerto Thunderbolt no son nuevos. Estos se han demostrado previamente con ataques ThunderClap.

Los ataques basados ​​en DMA permiten a los atacantes comprometer las computadoras específicas en segundos con solo enchufar dispositivos maliciosos de conexión en caliente. Por ejemplo, una tarjeta de red externa, mouse, teclado, impresora o almacenamiento, en el puerto Thunderbolt o el último puerto USB-C.

Resumiendo, los ataques DMA son posibles porque el puerto Thunderbolt funciona a un nivel muy bajo y con un alto acceso privilegiado a la computadora. Esto permite que los periféricos conectados eludan las políticas de seguridad del sistema operativo y lean/escriban directamente en la memoria del sistema. La memoria puede contener información confidencial, incluida tu contraseña, inicios de sesión bancarios, archivos privados y actividad del navegador.

Contramedidas

Para evitar ataques de DMA, Intel introdujo algunas contramedidas, y una de ellas fueron los ‘niveles de seguridad’. Estos evitan que los dispositivos no autorizados basados ​​en Thunderbolt PCIe se conecten sin la autorización del usuario.

“Para fortalecer aún más la autenticación del dispositivo, se dice que el sistema proporciona ‘autenticación criptográfica de las conexiones’. El objetivo es evitar que los dispositivos falsifiquen los dispositivos autorizados por el usuario”, afirmó el investigador.

Empero, al combinar las tres primeras fallas de Thunderspy, un atacante puede vulnerar la función de ‘niveles de seguridad’ y cargar un dispositivo Thunderbolt no autorizado. Este lo consigue falsificando las identidades de los dispositivos Thunderbolt, como se muestra en una demostración de video compartida por Ruytenberg.

“Los controladores Thunderbolt almacenan los metadatos del dispositivo en una sección de firmware denominada ROM de dispositivo (DROM). Hemos encontrado que el DROM no se verifica criptográficamente. Después del primer problema, esta vulnerabilidad permite construir identidades de dispositivo Thunderbolt falsificadas”, agregó.

“Además, cuando se combina con la segunda vulnerabilidad, las identidades falsificadas pueden comprender parcial o totalmente datos arbitrarios”.

“Además, mostramos la anulación no autenticada de las configuraciones de nivel de seguridad, incluida la capacidad de deshabilitar la seguridad de Thunderbolt por completo. Asimismo, la capacidad de restaurar la conectividad de Thunderbolt si el sistema se limita a pasar exclusivamente a través de USB y/o DisplayPort”, agregó.

Video Demostración:

Este contenido se encuentra parcialmente protegido

Disponible completamente solo para usuarios con membresía Wiser Elite
Adquiere tu mebresía aquí.

Deja un comentario