Notebookcheck Logo

Thunderspy: l'attacco che prende di mira i PC con connettività Thunderbolt

Il ricercatore Ruytenberg alle prese con Thunderspy
Il ricercatore Ruytenberg alle prese con Thunderspy
Di recente Microsoft ha deciso di non adottare più la porta Thunderbolt sui dispositivi della linea Surface, citanto la presenza di problemi di sicurezza legati a doppio filo al sistema sviluppato da Intel e Apple. Forse, in virtù di quanto scoperto dal ricercatore Björn Ruytenberg, il colosso di Redmond non ha poi tutti i torti considerato il bug Thunderspy emerso nelle scorse ore.
Security Windows Linux / Unix Thunderbolt

Prima di spiegare la vulnerabilità di sistema è necessaria fare qualche precisazione; il metodo suggerito dal ricercatore sembra essere efficace con i computer prodotti sino al 2019 e basati su sistema operativo Windows o Linux, mentre buona parte di quelli più recenti e soprattutto basati su macOS non ne sono affetti. Inoltre, per portar a termine l'operazione, è necessario accedere fisicamente al dispositivo e in alcuni casi accedere direttamente alla componentistica interna. Per completare la procedura sono necessari anche costose apparecchiature come un dispositivo da collegare alla porta come AKiTiO PCIe Expansion Box Ruytenberg e un SPI Programmer. 

La connettività Thunderbolt è stata spesso oggetto di numerosi studi e ricerche che hanno portato alla scoperta di alcuni bug come il più noto Thunderclap, una falla la cui azione può essere ridotta utilizzando esclusivamente periferiche fidate oppure disabilitando le funzionalità avanzate di una porta. Piccoli accorgimenti che non possono risolvere l'ennesima problematica riscontrata con Thunderspy, in quanto quest'ultimo opera direttamente sul firmware riscrivendo parte del codice. L'unico sistema di protezione è Kernel Direct Memory Access Protection (KDMAP), una tecnologia implementata in seguito alla scoperta di Thunderclap e quindi assente in tutti i dispositivi pre-2019.

Il ricercatore Björn Ruytenberg illustrerà le modalità di utilizzo di Thunderspy in occasione della conferenza Black Hat in programma per il prossimo agosto, salvo cancellazioni legate al Coronavirus. L'attacco consente di accedere ai contenuti del PC indipendentemente dalla presenza di un sistema di crittografia o da una schermata di login. Precisiamo che si tratta di una problematica che interesserà, nel migliore dei casi, una piccolissima percentuale di utenti pertanto consigliamo di valutare la vulnerabilità con le dovute precauzioni. La domanda ora però risulta più che lecita: Microsoft ne era già al corrente?

Ruytenberg ha pubblicato uno strumento gratuito capace di capire se il proprio computer è vulnerabile all'attacco e compatibile con la tecnologia KDMAP. Nel filmato di seguito potete trovare la dimostrazione della problematica riscontrata dal ricercatore:

Source(s)

wired

Please share our article, every link counts!
> Recensioni e prove di notebook, tablets e smartphones > News > Newsarchive 2020 05 > Thunderspy: l'attacco che prende di mira i PC con connettività Thunderbolt
Luca Rocchi, 2020-05-11 (Update: 2020-05-11)