Los puertos USB Thunderbolt (reconocibles por estar habitualmente marcados con un símbolo del rayo), que fabrica Intel y que podemos encontrar en equipos ensamblados por multitud de fabricantes sufren una vulnerabilidad que facilita el robo de datos incluso si estos están encriptados y el equipo se encuentra bloqueado o en suspensión, según ha revelado Bjorn Ruytenberg, investigador de la Univ. de Eindhoven.
Este nuevo método de ataque, bautizado con el nombre de Thunderspy, permite que alguien con acceso físico a un PC habilitado para Thunderbolt, equipado con Windows o Linux, y que llegara al mercado entre 2011 y 2020 pueda obtener acceso completo a los datos del equipo omitiendo la pantalla de inicio de sesión.
Por fortuna, desde 2019 algunos fabricantes integran Kernel Direct Memory Access Protection, que los protege parcialmente. Sin embargo, otros fabricantes como HP y Lenovo sacaron posteriormente a la venta varios equipos carentes de dicha protección.
Dónde está el problema
Se habla de "ataque de la doncella malvada" en referencia al realizado manipulando físicamente un dispositivo en ausencia de su legítimo propietario.
Según Ruytenberg, en este caso
"Todo lo que ha de hacer la 'doncella malvada' es desenroscar la placa trasera, conectar durante un momento un dispositivo, aprovechar para reprogramar el firmware, reconectar la placa posterior, y listo: la doncella malvada puede tener acceso completo al equipo [en menos de minutos]".
En parte, la base de este problema radica en el mismo diseño de Thunderbolt: su punto fuerte, una mayor velocidad de transferencia de datos a dispositivos externos, se basa su vez en un punto débil, al permitir un acceso más directo a la memoria del ordenador, lo que abre la puerta a vulnerabilidades.
Hace semanas, Microsoft explicó que uno de los motivos por los que la Surface Book 3 no incluía Thunderbolt 3 era el de la seguridad: entre febrero y marzo Intel había confirmado hasta 6 nuevas vulnerabilidades en las conexiones Thunderbolt 3, y todas ellas (deficiencias de la interfaz flash SPI, uso de metadatos no autenticados, uso de configuraciones de controlador no autenticadas, etc) son aprovechadas por Thunderspy.
Cómo prevenir y detectar el peligro
Ruytenberg presentará los detalles de su investigación a comienzos del próximo otoño, durante el evento de ciberseguridad Black Hat. Pero de momento avisa que carecemos de una solución sencilla basada en software: sólo nos queda la opción de desactivar el puerto Thunderbolt.
Como mal menor, el investigador nos recomienda que evitemos "dejar el PC desatendido mientras esté encendido, incluso aunque esté bloqueado": en caso de no poder apagarlo, es preferible hibernarlo que suspenderlo.
El software nos ofrece, sin embargo, si no una vacuna sí un método de detección de 'asintomáticos': para descubrir si nuestro PC es vulnerable a Thunderspy, los investigadores han creado un software open source llamado Spycheck, disponible para sistemas Windows y Linux.
Vía | Thunderspy
Ver 7 comentarios