Thunderbolt: Rompiendo la seguridad del protocolo

Thunderbolt

Nuevo Lunes y una nueva vulnerabilidad de hardware nos sorprende a todos, en este caso hablamos de Thunderspy apunta a dispositivos con un puerto Thunderbolt.

Si su computadora tiene un puerto Thunderbolt, un atacante que tenga un breve acceso físico puede leer y copiar todos sus datos, incluso si su unidad está encriptada y su computadora está bloqueada o configurada para dormir.

Thunderspy es sigilo, lo que significa que no puedes encontrar rastros del ataque. No requiere su participación, es decir, no hay un enlace de phishing o una pieza maliciosa de hardware que el atacante lo engañe para que lo use. 

Thunderspy funciona incluso si sigue las mejores prácticas de seguridad al bloquear o suspender su computadora al salir brevemente, y si el administrador del sistema ha configurado el dispositivo con arranque seguro, contraseñas seguras de BIOS y sistema operativo, y ha habilitado el cifrado de disco completo. Todo lo que necesita el atacante es 5 minutos solo con la computadora, un destornillador y un hardware fácilmente portátil.

Han encontrado 7 vulnerabilidades en el diseño de Intel y desarrollado 9 escenarios realistas de cómo estos podrían ser explotados por una entidad maliciosa.

Hemos desarrollado una herramienta gratuita y de código abierto, Spycheck, para determinar si su sistema es vulnerable. 

Si se encuentra que es vulnerable, Spycheck lo guiará a recomendaciones sobre cómo ayudar a proteger su sistema.

Las vulnerabilidades Thunderspy han sido descubiertas y reportadas por Björn Ruytenberg

Björn Ruytenberg. Rompiendo la seguridad del protocolo Thunderbolt: Informe de vulnerabilidad. 2020. 

Cronología de divulgación

Los investigadores divulgaron las vulnerabilidades 1-5 a Intel el 10 de febrero. Escribieron el 10 de marzo que su equipo de ingeniería confirmó las vulnerabilidades, y que las vulnerabilidades 3-5 eran nuevas para ellos. 

Después de más investigaciones, revelamos la vulnerabilidad 6, que Intel confirmó el 17 de marzo.

En el primer correo electrónico los investigadores le pidieron a Intel que notifique de inmediato a las partes afectadas, en coordinación con los investigadores.

Sin embargo, Intel no tomó ninguna medida y finalmente, después de varios intercambios de correo electrónico, enumeró solo 5 puntos que informaría. 

Luego les enviaron una lista de otros contactos que habían identificado como afectadas, incluidos 11 OEM / ODM y el equipo de seguridad del kernel de Linux.

Finalmente, les notificaron que informaron a algunas actores el 25 de marzo sobre las vulnerabilidades y la próxima divulgación, sin dar detalles de en qué consistía esta información y a quién contactaron exactamente.

Los investigadores se comunicaron con varias responsables de productos, después de darse cuenta de que Intel había omitido las alertas.

Finalmente, informaron a Apple de la vulnerabilidad 7 el 17 de abril.