В Windows-ноутбуках с разъёмом Thunderbolt найдена серьёзная уязвимость
Получить доступ к данным можно за пять минут.
Храните очень важные данные на ноутбуке? У вас Windows или Linux, ноутбук был выпущен до 2019 года и у него есть разъём Thunderbolt? Или у вас новое устройство, но без механизма защиты Kernel Direct Memory Access (DMA) Protection? Поздравляю, взломать ваше устройство можно за пять минут.
Многие до сих пор думают, что интерфейс Thunderbolt принадлежит Apple, но это не так: он разрабатывался Apple совместно с Intel, и полные права принадлежат вторым. А вот первым устройством с разъёмом Thunderbolt стал MacBook Pro, анонсированный в феврале 2011 года.
Новую уязвимость обнаружил Бьорн Руйтенберг из Технического университета Эйндховена в Нидерландах. Он также продемонстрировал, как это всё провернуть.
И как же?
С помощью Thunderspy (такое название получил новый метод взлома) можно обойти экран авторизации и шифрование жёстких дисков.
Важно: ноутбук придётся разбирать, что только усложняет работу злоумышленнику, но всё делается довольно быстро.
Итак, ноутбук должен быть включён и заблокирован или находиться в режиме сна. Чтобы обойти экран авторизации, микрокод контроллера Thunderbolt нужно обновить. В загружаемых настройках контроллера отключается функция, отвечающая за безопасность, а в разъём подключается специальное устройство, которое загружает в память ноутбука специальное ПО, которое, в свою очередь, отключает проверку пароля.
Всё, хакер получает доступ ко всем данным, быстро собирает ноутбук и о взломе никто даже не догадается. Необходимое оборудование для взлома не ударит по карману — потребуется 200–300 долларов. Но, как заявляет Руйтенберг, все необходимые компоненты можно уместить в компактный корпус — правда, стоить такая «флешка» будет уже несколько тысяч долларов.
А если разобрать ноутбук возможности нет?
Тогда хакеры могут воспользоваться альтернативным методом, но уже с другими сложностями — нужно доверенное устройство, которое ранее подключалось к компьютеру через Thunderbolt. С него можно скопировать код доступа и перенести на устройство, с которого будет осуществляться взлом.
Оба метода проверяли на разных устройствах HP, Dell и Lenovo, некоторые модели были выпущены после 2019 года, но в них всё равно отсутствовала функция Kernel DMA Protection.
Как работает этот механизм безопасности?
Всё достаточно просто: подключённые устройства не получают доступ к функции Direct Memory Access до того момента, пока не будет выполнен определённый набор процедур. Устройства, выпущенные до 2019 года (а некоторые и после), просто не поддерживают данную технологию.
Уязвимость Thunderspy не затрагивает устройства на macOS.