7 lỗ hổng bảo mật mới khiến dữ liệu bị đánh cắp trên máy tính có cổng Thunderbolt

Mới đây một nhà nghiên cứu an ninh đã phát hiện ra 7 lỗ hổng phần cứng mới được cho là không thể khắc phục. Những lỗ hổng này ảnh hưởng đến tất cả các máy tính để bàn và laptop có cổng USB-C tương thích Thunderbolt hoặc cổng Thunderbolt.

ThunderSpy là cái tên được sử dụng để chỉ chung các lỗ hổng có thể bị khai thác bằng nhiều phương thức evil-maid khác nhau. Chúng chủ yếu được dùng để đánh cắp dữ liệu hoặc đọc/ghi tất cả bộ nhớ hệ thống của máy tính khi máy bị khóa hay khi máy trong trạng thái ngủ và rồi tấn công hệ thống.

Tóm lại, chỉ vài phút truy cập vật lý vào máy tính cũng có thể tạo ra cuộc tấn công evil-maid và gây hại cho người dùng.

Theo nhà nghiên cứu Björn Ruytenberg đến từ Đại học Công nghệ Eindhoven, cuộc tấn công ThunderSpy “có thể cần phải mở khung laptop bằng tuốc-nơ-vít, nhưng quan trọng là nó không để lại dấu vết xâm nhập và có thể thực hiện chỉ trong vài phút”.

Nói cách khác, các lỗ hổng không được liên kết với đường link hay thành phần tương tự nào. Vì thế, nó không thể bị khai thác từ xa.

Ruytenberg cũng cho biết “Thunderspy hoạt động ngay cả khi bạn sử dụng nhiều cách bảo mật khác nhau. Ngay cả khi bạn khóa hoặc tạm dừng máy tính để đi ra ngoài trong khoảng thời gian ngắn, hoặc thậm chí quản trị hệ thống cài đặt Secure Boot, BIOS và mật khẩu tài khoản hệ điều hành mạnh, hay kích hoạt mã hóa toàn bộ ổ đĩa (full disk encryption) thì Thunderspy vẫn có thể hoạt động được”.

Bên cạnh các máy tính chạy Windows hoặc Linux, một số máy tính Apple có cổng Thunderbolt được bán từ năm 2011 trở đi cũng trở thành nạn nhân của lỗ hổng này, trừ các phiên bản retina.

Dưới đây là danh sách về bảy lỗ hổng Thunderspy ảnh hưởng đến các phiên bản Thunderbolt 1, 2 và 3. Những lỗi này có thể bị khai thác để tạo bảng tính trạng thiết bị Thunderbolt tùy ý, sao chép các thiết bị Thunderbolt do người dùng ủy quyền và cuối cùng, có được kết nối PCIe (một dạng giao diện bus hệ thống/card mở rộng) để thực hiện các cuộc tấn công DMA (tấn công bảo mật bên trong).

Schemes xác minh firmware không đầy đủ (Inadequate firmware verification schemes)

Schemes xác thực thiết bị yếu (Weak device authentication schemes)

Sử dụng siêu dữ liệu của thiết bị chưa được xác thực (Use of unauthenticated device metadata)

Tấn công hạ cấp bằng cách sử dụng backward compatibility (Downgrade attack using backward compatibility)

Sử dụng các cấu hình bộ điều khiển chưa được xác thực (Use of unauthenticated controller configurations)

Thiếu sót giao diện flash SPI (SPI flash interface deficiencies)

Không có bảo mật Thunderbolt trên Boot Camp (No Thunderbolt security on Boot Camp)

Các cuộc tấn công truy cập bộ nhớ trực tiếp (DMA) vào cổng Thunderbolt không phải là mới xuất hiện. Trước đây chúng đã được biết đến qua các cuộc tấn công ThunderClap.

Các cuộc tấn công DMA cho phép kẻ tấn công xâm nhập mục tiêu chỉ trong vài giây chỉ bằng cách cắm một thiết bị hot-plug độc hại như thẻ mạng ngoài, chuột, bàn phím, máy in hoặc thiết bị lưu trữ vào cổng Thunderbolt hoặc cổng USB-C.

Nói tóm lại, các cuộc tấn công DMA có thể xảy ra do cổng Thunderbolt hoạt động ở mức rất thấp và có quyền truy cập đặc quyền cao vào máy tính, cho phép các thiết bị ngoại vi được kết nối mà không cần thông qua các chính sách bảo mật của hệ điều hành và đọc/ghi trực tiếp vào bộ nhớ hệ thống. Trong bộ nhớ có thể chứa thông tin như mật khẩu, thông tin đăng nhập ngân hàng, các tập tin riêng tư và nhật ký hoạt động của trình duyệt.

Để ngăn chặn các cuộc tấn công DMA, Intel đã giới thiệu một số biện pháp đối phó. Một trong số đó là ‘security levels’, giúp ngăn các thiết bị có Thunderbolt PCIe kết nối trái phép mà chưa được sự cho phép của người dùng.

Nhà nghiên cứu cho biết “Để tăng khả năng xác thực thiết bị, hệ thống sẽ cung cấp ‘mật mã xác thực các kết nối’ nhằm ngăn chặn các thiết bị giả mạo việc được người dùng ủy quyền”.

Tuy nhiên, khi kết hợp ba lỗ hổng Thunderspy đầu tiên, kẻ tấn công có thể phá vỡ tính năng ‘security levels’ và bằng cách nạp một thiết bị Thunderbolt độc hại trái phép mạo danh thiết bị Thunderbolt đã được xác định.

Ruytenberg nói thêm “Bộ điều khiển Thunderbolt lưu trữ siêu dữ liệu của thiết bị trong firmware được gọi là Device ROM (DROM). Chúng tôi đã nhận thấy DROM không được xác minh bằng mật mã.Từ đó, lỗ hổng này cho phép xây dựng các bộ giả mạo thiết bị Thunderbolt đã xác thực”.

“Khi kết hợp với lỗ hổng thứ hai, những bộ xác nhận giả mạo có thể bao gồm một phần hoặc toàn bộ dữ liệu tùy ý”

“Ngoài ra, chúng tôi còn hiển thị các cấu hình Security Level không được xác thực như khả năng vô hiệu hóa hoàn toàn bảo mật Thunderbolt và khôi phục kết nối Thunderbolt nếu hệ thống bị hạn chế chỉ chuyển dữ liệu qua cổng USB và DisplayPort”

“Chúng tôi kết thúc báo cáo bằng việc chứng minh khả năng vô hiệu hóa vĩnh viễn bảo mật Thunderbolt và chặn tất cả các bản cập nhật firmware trong tương lai”

Theo Ruytenberg, một số hệ thống mới kể từ năm 2019 trong đó có tính năng bảo vệ Kernel DMA giúp giảm thiểu một phần các lỗ hổng Thunderspy.

Nhằm giúp mọi người kiểm tra thiết bị có bị ảnh hưởng bởi các lỗ hổng Thunderspy hay không, Ruytenberg cũng đã phát hành một công cụ mã nguồn mở miễn phí tên là Spycheck.

Trước khi được báo cáo lỗ hổng Thunderspy, Intel đã biết về một số lỗi nhưng lại không có kế hoạch vá lỗi hay tiết lộ cho công chúng.

Ruytenberg tuyên bố đã tìm thấy nhiều lỗ hổng tiềm năng trong giao thức Thunderbolt. Chúng hiện đang là một phần của dự án nghiên cứu đang diễn ra và dự kiến ​​sẽ được tiết lộ ngay với tên gọi Thunderspy 2.

Nếu nghĩ đang sở hữu thiết bị có cổng Thunderbolt và nghĩ rằng mình là mục tiêu tiềm năng thì bạn hãy tránh để các thiết bị ở nơi không có người bảo vệ, tắt nguồn hoàn toàn hoặc ít nhất sử dụng chế độ ngủ đông thay vì chế độ ngủ.

Nếu rất lo sợ việc bị tấn công, hãy tránh để các thiết bị Thunderbolt ở nơi không giám sát được hoặc tránh cho người lạ mượn máy.

Theo TheHackerNews