Egy holland kutató érdekes sebezhetőségre bukkant az elmúlt hónapok folyamán, amely a Thunderbolt alapú konfigurációkat érinti, ráadásul utólagos javításra nincs mód a jelek szerint, így a 2011 és 2019 között gyártott rendszerek mind veszélyben lehetnek. Az igazsághoz persze hozzá tartozik az is, hogy a sebezhetőségen keresztül nem valami egyszerű megtámadni az adott PC-t, hiszen a siker érdekében fizikailag is közel kell kerülni hozzá, ráadásul nem 1-2 percre, így az alapvető elővigyázatosság – vagyis nem hagyjuk őrizetlenül a laptopot veszélyesebb helyeken – bőven elegendő védekezés lehet.
A Thunderbolt 1-es, 2-es és 3-as kiadását egyaránt érintő támadási lehetőség alapja, hogy első körben hozzá kell férni a Thunderbolt vezérlőhöz tartozó SPI chiphez, ami a firmware-t tárolja – ezt egy SPI Flasher segítségével viszonylag könnyen meg lehet oldani, ha már sikerült elintézni, hogy pár percig lehessen ügyködni a kiszemelt noteszgépen. Az SPI Flasher segítségével egy módosított firmware kerül a Thunderbolt vezérlő eredeti firmware-ének a helyére, ami módosítja a biztonsági szintet (Security Level). Alapvetően a Thunderbolt kapcsolatok esetében Security Level 1 van érvényben, ami a biztonságot garantálja, de mivel a firmware esetében nem ellenőrzi a rendszer, aláírta-e a feltölteni kívánt szoftvert az Intel vagy sem, így van mód barkácsolásra.
A cél az, hogy a biztonsági szintet 0-ra állítsa a támadó, így ugyanis a nem megbízható eszközök csatlakoztatása is lehetővé válik. A funkció alapvetően az USB és a DisplayPort alapú kapcsolatokhoz készült, de vissza lehet vele élni, ahogy a kutató is bemutatja az alábbi videóban. Hogy miért fontos a biztonsági szint átállítása? Azért, mert a Thunderbolt porton keresztül lehetőség van közvetlen memória-hozzáférésre (DMA), amelyen keresztül újabb trükköket lehet bevetni, így az adott noteszgép bejelentkező képernyőjén jelszó megadása nélkül is túl lehet jutni, ahogy az a lenti videón is látszik.
Az egészhez – kellő felkészültség esetén – elég 5-10 perc is, ha a folyamathoz azt is hozzávesszük, hogy a feltört notebookon lévő adatokat is át akarja tekinteni a támadó. A teljes folyamat nyom nélkül történik, ugyanis az operációs rendszer és egyéb szoftverek sem érzékelik az efféle támadást.
A sikerhez nagyjából 400 dollárnyi értékű eszközre van szükség, plusz némi szoftver és szakmai felkészültség is elkél – a notebook észrevétlen elcsenéséről nem is beszélve –, vagyis akárki nem fog ilyen támadással bíbelődni.
Bizonyos esetekben viszont kifizetődő lehet az efféle támadás is, ha ennek révén olyan érzékeny üzleti adatokhoz juthat a támadó, amelyekhez másképp nem férhetne hozzá. A folyamat persze elég bonyolult, így átlagfelhasználói szinten nem igazán jelenthet veszélyt a többség számára. A sebezhetőségnek a ThunderSpy nevet adta a holland kutató, Björn Ruytenberg, és egy külön weboldal is készült hozzá.
A fenti hiba ellen részben védettek azok a konfigurációk, amelyek gyártása 2019-ben történt, ezek ugyanis extra védelmet alkalmaznak a Thunderbolt port esetében, ami védelmet nyújt a közvetlen memória-hozzáféréssel szemben. Ezt az újítást – Kernel Direct Memory Access Protection – azonban sajnos nem minden gyártó alkalmazza, így a friss konfigurációk közötti is lehetnek olyanok, amelyek védtelenek a sebezhetőséggel szemben. És erre a sebezhetőségre nincs utólagos javítás, tehát a 2019 előtti Thunderbolt portos rendszereknél már együtt kell élni vele – maximum a Thunderbolt port letiltása jöhet szóba, ha valami miatt mindenképpen ki akarjuk zárni a lehetőségek közül ezt a támadási formát.
