A Thunderbolt az ^{(Thunderbolt)}Intel által kifejlesztett hardvermárka interfész . Interfészként működik a számítógép és a külső eszközök között. Míg a legtöbb Windows számítógépen mindenféle port található, sok vállalat Thunderboltot^{(Thunderbolt)} használ különféle típusú eszközökhöz való csatlakozáshoz. Ez megkönnyíti a csatlakozást, de az Eindhoveni ^{(Eindhoven University)}Műszaki^(Technology) Egyetem kutatása szerint a Thunderbolt mögött meghúzódó biztonság feltörhető a Thunderspy technikával . Ebben a bejegyzésben olyan tippeket osztunk meg, amelyek segítségével megvédheti számítógépét a Thunderspy ellen .

Mi az a Tunderpy^(Tunderspy) ? Hogyan működik?

Ez egy lopakodó támadás, amely lehetővé teszi a támadók számára, hogy hozzáférjenek a közvetlen memóriaelérési ( DMA ) funkciókhoz, hogy kompromittálja az eszközöket. A legnagyobb probléma az, hogy nem marad nyoma, mivel úgy működik, hogy nem telepít semmilyen rosszindulatú programot vagy linkcsalit. Megkerülheti a legjobb biztonsági gyakorlatokat, és lezárhatja a számítógépet. Szóval hogyan működik? A támadónak közvetlen hozzáférésre van szüksége a számítógéphez. A kutatás szerint a megfelelő eszközökkel kevesebb mint 5 percet vesz igénybe.

Tippek a Thunderspy elleni védekezéshez

A támadó átmásolja a forráseszköz Thunderbolt Controller firmware -jét az eszközére. ^{(Thunderbolt Controller Firmware)}Ezután egy firmware javítóprogram ( TCFP ) segítségével letiltja a Thunderbolt firmware-ben kényszerített biztonsági módot. A módosított verziót a program visszamásolja a célszámítógépre a Bus Pirate eszközzel. Ezután egy Thunderbolt -alapú támadóeszköz csatlakozik a támadott eszközhöz. Ezután a PCILeech eszköz segítségével betölt egy kernelmodult, amely megkerüli a Windows bejelentkezési képernyőjét.

Tehát még ha a számítógép rendelkezik olyan biztonsági funkciókkal is, mint a Secure Boot , az erős BIOS és az operációs rendszer fiókjainak jelszavai, és engedélyezve van a teljes lemeztitkosítás, akkor is mindent megkerül.

TIPP^(TIP) : A Spycheck ellenőrzi, hogy számítógépe sebezhető-e a Thunderspy támadásokkal szemben .

Tippek a Thunderspy elleni védekezéshez

A Microsoft három módszert ajánl^(recommends) a modern fenyegetéssel szembeni védekezésre. A Windowsba beépített ezen szolgáltatások némelyike kihasználható, míg néhányat engedélyezni kell a támadások mérséklése érdekében.

Biztonságos mag PC-védelem
Kernel DMA védelem
Hipervizor által védett kódintegritás ( HVCI )

Ez azt jelenti, hogy mindez lehetséges egy Secured-core PC-n. Egyszerűen nem alkalmazhatja ezt egy normál számítógépen, mert nem áll rendelkezésre az a hardver, amely megvédheti a támadástól. A legjobb módja annak, hogy megtudja, hogy számítógépe támogatja-e ezt, ha megnézi a Windows Security alkalmazás Devic Security szakaszát .

1] Secured-core PC-védelem

Windows Defender System Guard

A Windows Security^{(Windows Security)} , a Microsoft házon belüli biztonsági szoftvere Windows Defender System Guard és virtualizáció alapú biztonságot kínál. Szüksége van azonban egy olyan eszközre, amely Secured-core PC-ket^{(Secured-core PCs)} használ . A modern CPU -ban gyökerezett hardverbiztonságot használ , hogy a rendszert megbízható állapotba hozza. Segít mérsékelni a rosszindulatú programok által a firmware szintjén tett kísérleteket.

2] Kernel DMA védelem

A Windows 10 v1803-ban bevezetett kernel DMA - védelem gondoskodik arról, hogy megakadályozza a külső perifériákat a közvetlen memóriahozzáférés^{(Memory Access)} ( DMA ) támadásaival szemben PCI hotplug eszközökkel, például Thunderbolttal^{(Thunderbolt)} . Ez azt jelenti, hogy ha valaki rosszindulatú Thunderbolt^{(Thunderbolt)} firmware-t próbál meg másolni egy gépre, az blokkolva lesz a Thunderbolt porton keresztül. Ha azonban a felhasználó rendelkezik a felhasználónévvel és a jelszóval, akkor képes lesz megkerülni azt.

3] Hardening védelem Hypervisor által védett^{(Hypervisor-protected)} kódintegritással ( HVCI )

Kapcsolja ki a Memory Integrity Core Isolation Windows Security szolgáltatást

A hipervizor által védett kódintegritást vagy a HVCI - t engedélyezni kell a Windows 10 rendszeren^{(Windows 10)} . Elszigeteli a kódintegritási alrendszert, és ellenőrzi, hogy ott a kernelkódot^(Kernel) nem ellenőrizte és nem írta alá a Microsoft . Azt is biztosítja, hogy a kernelkód ne legyen írható és végrehajtható is, így biztosítva, hogy a nem ellenőrzött kód ne futhasson le.

A Thunderspy^(Thunderspy) a PCILeech eszközt használja a ^(PCILeech)Windows bejelentkezési képernyőjét megkerülő kernelmodul betöltésére . A HVCI használata mindenképpen megakadályozza ezt, mivel nem teszi lehetővé a kód végrehajtását.

A számítógépek vásárlásakor mindig a biztonságnak kell lennie az első helyen. Ha fontos adatokkal foglalkozik, különösen az üzleti életben, akkor ajánlott Secured-core PC- eszközök vásárlása. Itt található az ilyen eszközök^{(such devices)} hivatalos oldala a Microsoft webhelyén.

Tips to protect your computer against Thunderspy attack

Thunderbolt is the hardware brand interface developed by Intel. It acts as an interface between computer and external devices. While most of the Windows computers come with all sorts of ports, many companies use Thunderbolt to connect to various types of devices. It makes connecting easy, but according to research at the Eindhoven University of Technology, the security behind Thunderbolt can be breached using a technique — Thunderspy. In this post, we will share tips you can follow to protect your computer against Thunderspy.

What is Tunderspy? How does it work?

Its a stealth attack that allows an attacker to access direct memory access (DMA) functionality to compromise devices. The biggest problem is that there is no trace left as it works without deploying any mind of malware or link bait. It can bypass the best security practices and lock the computer. So how does it work? The attacker needs direct access to the computer. According to the research, it takes less than5 minutes with the right tools.

Tips to protect against Thunderspy

The attacker copies the Thunderbolt Controller Firmware of the source device to his device. It then uses a firmware patcher (TCFP) to disable the security mode enforced in the Thunderbolt firmware. The modified version is copied back to the target computer using the Bus Pirate device. Then a Thunderbolt-based attack device is connected to the device being attacked. It then uses the PCILeech tool to load a kernel module that bypasses the Windows sign-in screen.

So even if the computer has security features like Secure Boot, strong BIOS, and operating system account passwords, and enabled full disk encryption, enabled, it will still bypass everything.

TIP: Spycheck will check if your PC is vulnerable to the Thunderspy attack.

Tips to protect against Thunderspy

Microsoft recommends three ways to protect against the modern threat. Some of these features that are built into Windows can be leveraged while some should be enabled to mitigate the attacks.

Secured-core PC protections
Kernel DMA protection
Hypervisor-protected code integrity (HVCI)

That said, all this is possible on a Secured-core PC. You simply cannot apply this on a regular PC because the hardware is not available that can secure it from the attack. The best way to find out if your PC supports it is by checking the Devic Security section of the Windows Security app.

1] Secured-core PC protections

Windows Defender System Guard

Windows Security, Microsoft’s in-house security software, offers Windows Defender System Guard and virtualization-based security. However, you need a device that uses Secured-core PCs. It uses rooted hardware security in the modern CPU to launch the system into a trusted state. It helps mitigate attempts made by malware at the firmware level.

2] Kernel DMA protection

Introduced in Windows 10 v1803, Kernel DMA protection makes sure to block external peripherals from Direct Memory Access (DMA) attacks using PCI hotplug devices such as Thunderbolt. It means if someone tries to copy malicious Thunderbolt firmware to a machine, it will be blocked over the Thunderbolt port. However, if the user has the username and password, he will be able to bypass it.

3] Hardening protection with Hypervisor-protected code integrity (HVCI)

Turn off Memory Integrity Core Isolation Windows Security

Hypervisor-protected code integrity or HVCI should be enabled on Windows 10. It isolates the code integrity subsystem and verified that there Kernel code is not verified and signed by Microsoft. It also ensures that kernel code cannot be both writable and executable to make sure unverified code does not execute.

Thunderspy uses the PCILeech tool to load a kernel module that bypasses the Windows sign-in screen. Using HVCI will make sure to prevent this as it will not allow it to execute the code.

Security should always be at the top when it comes to buying computers. If you deal with data that is important, especially with business, it is recommended to purchase Secured-core PC devices. Here is the official page of such devices on the Microsoft website.

Ádám Biró

About the author

Webfejlesztő vagyok, tapasztalattal a Firefox és a Google Docs területén. A Floridai Egyetemen szereztem diplomát üzleti adminisztrációból. Szakképzettségeim a következők: weboldalkészítés, tartalomkezelő rendszer (CMS), adatelemzés és felhasználói felület tervezés. Tapasztalt tanácsadó vagyok, aki segíthet csapatának hatékony webhelyek és alkalmazások létrehozásában.

Tippek számítógépének Thunderspy támadásokkal szembeni védelméhez

Mi az a Tunderpy^(Tunderspy) ? Hogyan működik?