Выявлена возможность взлома ПК через Thunderbolt

Исследователи в области безопасности установили, что миллионы компьютеров, оснащённые портами Thunderbolt и выпущенные до 2019 года, имеют уязвимость, позволяющую обойти всю систему безопасности.

Получить данные можно при физическом доступе к компьютеру, и не имеет значения, защищена ли система паролем и зашифрован ли диск.

Бьёрк Руйтенберг сообщил о новой атаке под названием Thunderspy. По его словам, в конструкции Intel Thunderbolt выявлены семь уязвимостей. Одна из них позволяет злоумышленнику обойти меры безопасности ПК «за 5 минут наедине с компьютером при наличии отвёртки и простых портативных компонентов». Получив доступ, злоумышленник может скопировать любые данные с ПК, даже зашифрованные.

Руйтендерг также опубликовал видео процесса взлома. В нём исследователь снял заднюю крышку с ноутбука Lenovo ThinkPad и изнутри подключил некое устройство. Отмечается, что такое устройство легко собрать из доступных в продаже компонентов за сотню долларов. После подключения устройства и изменения настроек безопасности в прошивке, он заходит в систему, как будто у него есть пароль, и получает доступ к данным. Весь процесс занимает порядка 5 минут.

Thunderspy PoC demo 1: Unlocking Windows PC in 5 minutes
Thunderspy PoC demo 1: Unlocking Windows PC in 5 minutes

Немного позднее Intel сообщила, что атаки типа Thunderspy стали невозможными с 2019 года, после внедрения Kernel Direct Memory Access (DMA) Protection. Однако все устройства, выпущенные раньше этого срока и управляемые Windows или Linux совершенно беззащитны перед Thunderspy. Уязвимость аппаратная, и не подлежит исправлению. Машины, работающие под управлением MacOS имеют частичную уязвимость, и работают с такими устройствами взлома аналогично уязвимости BadUSB.