Un investigador ha revelado los detalles de un nuevo método de ataque que apunta a dispositivos con un puerto Thunderbolt, permitiendo a los actores maliciosos acceder a una computadora protegida en menos de 5 minutos. Thunderbolt es la interfaz de hardware creada por Intel y Apple para conectar dispositivos periféricos a una computadora. Millones de computadoras portátiles y de escritorio con un puerto Thunderbolt podrían ser vulnerables a estos ataques.
El nuevo método de ataque, llamado Thunderspy, fue descubierto por Björn Ruytenberg de la Universidad Tecnológica de Eindhoven en los Países Bajos. El investigador descubrió un total de 7 vulnerabilidades relacionadas con la verificación incorrecta del firmware, la autenticación de dispositivos débiles, el uso de metadatos de dispositivos no autenticados, ataques de degradación, configuraciones de controladores no autenticados, problemas de interfaz flash SPI y la falta de seguridad Thunderbolt cuando se usa Boot Camp, el herramienta que permite a los usuarios instalar Windows en computadoras Apple.
En una demostración de ataque, Ruytenberg mostró cómo un atacante con acceso físico a una computadora portátil bloqueada (el dispositivo requiere que el usuario ingrese la contraseña de Windows para acceder a ella) podría omitir la autenticación y obtener acceso a todo lo almacenado en el dispositivo en menos de 5 minutos.
El ataque implica (video) abrir la cubierta posterior del dispositivo, conectar un dispositivo llamado Bus Pirate a la interfaz flash SPI asociada con el firmware del controlador Thunderbolt, conectar el Bus Pirate a la computadora portátil del atacante, copiar el firmware Thunderbolt usando una herramienta llamada Flashrom, modificar el Thunderbolt firmware para deshabilitar toda la seguridad de Thunderbolt y volver a escribirlo en el dispositivo de destino. Luego, el atacante conecta un dispositivo de ataque de acceso directo a memoria (DMA) basado en Thunderbolt que ejecuta PCILeech a la PC objetivo, y lo usa para cargar un módulo de kernel que les permite omitir la pantalla de inicio de sesión de Windows.
En una segunda demostración, el investigador mostró cómo un atacante podría explotar algunas de las vulnerabilidades de Thunderspy para desactivar permanentemente toda la seguridad de Thunderbolt y bloquear a los usuarios para que no realicen actualizaciones de firmware.
“Thunderspy es sigiloso, lo que significa que no puedes encontrar ningún rastro del ataque”, explicó Ruytenberg en un sitio web dedicado a Thunderspy. “No requiere su participación, es decir, no hay un enlace de phishing o una pieza maliciosa de hardware que el atacante lo engañe para que lo use. Thunderspy funciona incluso si sigue las mejores prácticas de seguridad al bloquear o suspender su computadora al salir brevemente, y si el administrador del sistema configuró el dispositivo con arranque seguro, contraseñas seguras de BIOS y sistema operativo y habilitó el cifrado de disco completo”.
Según Ruytenberg, todos los dispositivos fabricados desde 2011 son vulnerables a los ataques si tienen un puerto Thunderbolt; esto incluye puertos USB-C y Mini DisplayPort con un símbolo de rayo junto a ellos. Algunos dispositivos más nuevos, enviados desde 2019, pueden incluir Kernel DMA Protection, que mitiga algunas de las vulnerabilidades de Thunderspy. El investigador ha identificado el soporte para esta protección en algunos dispositivos HP EliteBook y ZBook más nuevos, y dispositivos Lenovo ThinkPad y Yoga.
Los dispositivos Apple solo se ven parcialmente afectados por las vulnerabilidades, principalmente si ejecutan Linux o Windows instalados a través de la utilidad Boot Camp.
Ruytenberg advirtió que las vulnerabilidades Thunderspy no mitigadas por Kernel DMA Protection pueden exponer los dispositivos a ataques similares al conocido como BadUSB.
Seis de las vulnerabilidades de Thunderspy se informaron a Intel y la que afectaba a Boot Camp se informó a Apple. Intel le dijo al investigador que había estado al tanto de tres de los problemas y que no proporcionaría ninguna mitigación más allá de Kernel DMA Protection. El fabricante de chips también dijo que no publicaría avisos de seguridad pública ni asignaría identificadores CVE a los defectos.
Además de un trabajo de investigación que contiene detalles técnicos [PDF], Ruytenberg ha puesto a disposición una herramienta gratuita y de código abierto llamada Spycheck que le dice a los usuarios si sus sistemas son vulnerables a Thunderspy y brinda recomendaciones sobre cómo proteger sus sistemas contra ataques.
El año pasado, los investigadores demostraron Thunderclap, un método de ataque que puede permitir a los atacantes tomar el control de una computadora y acceder a datos confidenciales conectando un dispositivo especialmente diseñado al puerto Thunderbolt del objetivo.