超惡漏洞!Thunderspy可讓駭客無聲無息偷資料 設定開機密碼或硬碟加密都沒用!

荷蘭艾因霍溫大學安全研究人員Bjorn Ruytenberg在Thunderbolt中發現,而且不只一個,而是7個漏洞,他將之稱為Thunderspy。

荷蘭研究人員發現Thunderbolt連接埠介面有漏洞,可能讓數百萬台搭載Thunderbolt的電腦在5分鐘內就被駭入。

Thunderbolt是英特爾和蘋果共同開發,可讓使用者以單一傳輸埠執行資料傳輸、充電和外接影像周邊裝置等。起初是由蘋果在2011年的MacBook Pro搭載,但隨後廣泛用於Dell、HP和聯想等Windows PC。

荷蘭艾因霍溫大學安全研究人員Bjorn Ruytenberg在Thunderbolt中發現,而且不只一個,而是7個漏洞,他將之稱為Thunderspy。這7大漏洞包括韌體檢驗機制不足、裝置驗證機制貧弱、使用未驗證的裝置meta data、使用回溯相容的降階攻擊、使用未驗證的控制器組態、SPI (Serial Peripheral Interface) Flash介面問題、Bootcamp上的Thunderbolt不具安全性。另外他也發展出9種攻擊情境。

所有於2019年以前生產的PC或Mac電腦,至少數百萬台裝置都受影響。

研究人員也說明了Thunderspy攻擊方法。攻擊者必須能拿到電腦,撬開電腦背板,接上一台Thunderbolt裝置、編寫韌體(以控制Thunderbolt埠)後,把背板裝回去就好了,只要5分鐘。現在攻擊者就可以利用改寫過的韌體來變更Thunderbolt埠設定,可任意在電腦外接任何惡意裝置,而且即使在電腦設了密碼、硬碟加密或是關閉存取Thunderbolt埠的功能都可以使用這套攻擊手法。

Ruytenberg並以影片示範其中一種Thunderspy攻擊。以螺絲起子撬開一台有Thunderbolt的ThinkPad筆電進行攻擊,接上Thunderbolt裝置和、SPI (Serial Peripheral Interface)裝置在Thunderbolt控制器上動手腳,完成後不用輸入密碼也能成功打開上鎖的電腦。

他說,Thunderspy手法很隱密,你幾乎無從發現攻擊痕跡,沒有釣魚連結,不需要使用惡意裝置,就算用戶的安全措施再完備,像是電腦鎖上短暫離開一下,又或是管理員啟動了電腦Secure Boot、BIOS或作業系統帳號使用強密碼,啟用全磁碟加密,都擋不住Thunderskpy攻擊。

研究人員將該批漏洞通報英特爾後,英特爾表示,雖然底層漏洞不是新漏洞,也已在去年在作業系統層解決,但研究人員展示了以特製周邊裝置進行實體攻擊的可能性。因此英特爾已加入了名為Kernel Direct Memory Access Protection的Thunderbolt安全系統來防止Thunderspy攻擊。

來源:CISOMAG

 

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416