Pesquisador de segurança encontra forma de contornar todas as proteções associadas à interface de hardware Thunderbolt da Intel para conectar periféricos externos a computadores Windows, Linux ou macOS
Foi revelada no último domingo, 10, uma falha de segurança que afeta a interface de hardware Thunderbolt, da Intel, que permite roubar dados do computador da vítima “em menos de cinco minutos”. A vulnerabilidade foi revelada pelo pesquisador de segurança holandês Björn Ruytenberg que descobriu uma forma de contornar todos os sistemas de proteção existentes na tecnologia de transferência de dados. A brecha de segurança foi batizada de Thunderspy.
O Thunderbolt é uma interface de hardware projetada pela Intel e pela Apple em colaboração para conectar periféricos externos que precisam de conexões de alta velocidade a um computador, tais como subsistemas de armazenamento RAID, interface de rede, dispositivos de captura de vídeo e outros.
Os hackers que obtêm acesso físico a dispositivos Windows, Linux ou macOS, segundo Ruytenberg, podem acessar e roubar dados de discos rígidos explorando sete vulnerabilidades encontradas no Thunderbolt.
Para que o ataque e o roubo de dados sejam bem-sucedidos, o hacker tem de ter acesso físico ao computador da vítima, algo que no mundo da segurança cibernética é conhecido como ataques evil maid (camareira maliciosa, em tradução livre). No caso do Thunderspy, é necessário retirar o chassi da base do computador para ter acesso ao controlador físico da porta Thunderbolt. Daí, usando componentes fáceis de encontrar e baratos, é possível reconfigurar o firmware do chip da conexão Thunderbolt para ‘desligar’ todos os mecanismos de proteção que tem associados. Depois basta voltar a colocar a tampa na base do computador e introduzir um periférico àquela porta Thunderbolt para iniciar a exfiltração de dados.
A Intel já tem um mecanismo, denominado Kernel Direct Memory Access Protection, que impede que estes ataques sejam bem-sucedidos. O problema é que esta tecnologia só começou a ser implementada em computadores lançados de 2019 em diante, o que significa que todos aqueles lançados anteriormente estão vulneráveis. Mesmo algumas máquinas lançadas pelos principais fabricantes de computadores em 2019 não têm o sistema implementado. Já os computadores com MacOS não são afetados pelo Thunderspy.
De acordo com o autor da descoberta, não existe forma de corrigir a vulnerabilidade em computadores que estão afetados. Segundo Ruytenberg, existem duas alternativas para mitigar possíveis roubos de informação: desativar por completo a porta Thunderbolt, através das definições do sistema operacional; ou permitir que apenas periféricos Thunderbolt confiáveis sejam conectados à porta de comunicação. A vulnerabilidade, diz ele, pode se tornar particularmente muito útil em campanhas de espionagem.
Os resultados da investigação já foram compartilhados com a Intel há três meses. Mas a fabricante de chip já adiantou que não fornecerá atualizações para solucionar as vulnerabilidades do Thunderspy. Portanto, não atribuirá nenhum CVEs às falhas nem lançará avisos de segurança para informar o público em geral. Por isso, o usuário deve seguir as recomendações para proteger seus dados ou desativar o controlador Thunderbolt no UEFI (BIOS).
Conheça nossas soluções em TI