Mới đây, một nhà nghiên cứu từ Hà Lan vừa tiết lộ thông tin chi tiết về Thunderspy – một phương thức tấn công mới nhắm vào các thiết bị có cổng Thunderbolt. Với Thunderspy, hacker có thể truy cập vào một chiếc máy tính được bảo vệ chỉ trong vòng chưa đến 5 phút.
Thunderspy được nhà nghiên cứu Bjorn Ruytenberg thuộc Đại học Công nghệ Eindhoven, Hà Lan tìm ra. Ruytenberg phát hiện tổng cộng 7 lỗ hổng chưa được vá có thể bị lợi dụng tấn công Thunderspy, bao gồm lỗi liên quan đến xác minh firmware sai cách, lỗi xác thực thiết bị yếu, lỗi sử dụng siêu dữ liệu của thiết bị không được xác thực, lỗi tấn công hạ cấp, lỗi cấu hình trình điều khiển không được xác thực, lỗi giao diện flash SPI và lỗi thiếu biện pháp bảo vệ cho Thunderbolt khi sử dụng Boot Camp, một công cụ cho phép người dùng cài đặt Windows trên các máy tính Apple.
Thunderbolt là giao diện phần cứng do Intel và Apple phát triển với mục đích kết nối các thiết bị ngoại vi với máy tính. Hàng triệu máy tính xách tay và máy tính bàn có cổng Thunderbolt có thể bị ảnh hưởng bởi các cuộc tấn công Thunderspy.
Trong demo tấn công đầu tiên, Ruytenberg chỉ ra cách kẻ tấn công, nếu có quyền truy cập vật lý vào máy tính xách tay đã được khóa, có thể qua mặt yêu cầu xác thực và giành được quyền truy cập vào mọi thứ trên thiết bị trong vòng chưa đến 5 phút.
Cuộc tấn công gồm các bước: mở nắp lưng thiết bị, kết nối thiết bị tấn công có tên gọi Bus Pirate với giao diện flash SPI được liên kết với firmware trình điều khiển Thunderbolt, kết nối Bus Pirate với máy tính xách tay của kẻ tấn công, sao chép firmware Thunderbolt bằng công cụ Flashrom, sửa đổi firmware Thunderbolt để vô hiệu hóa tất cả biện pháp bảo vệ Thunderbolt và ghi lại vào thiết bị mục tiêu. Sau đó, kẻ tấn công kết nối thiết bị tấn công truy cập bộ nhớ trực tiếp (DMA) trên Thunderbolt đang chạy PCIL336 tới máy tính mục tiêu và sử dụng thiết bị này để tải mô-đun nhân, cho phép chúng bỏ qua bước đăng nhập Windows.
Trong demo thứ hai, Ruytenberg chỉ ra cách kẻ tấn công có thể khai thác một số lỗ hổng Thunderspy để vô hiệu hóa vĩnh viễn tất cả các biện pháp bảo vệ Thunderbolt và chặn người dùng tiến hành cập nhật firmware.
“Thunderspy có khả năng tàng hình, nghĩa là không thể tìm thấy bất kỳ dấu vết nào của cuộc tấn công. Hình thức tấn công này không yêu cầu tương tác người dùng, đồng nghĩa với việc kẻ tấn công không cần lừa người dùng truy cập link độc hại hay lừa đảo. Thunderspy hoạt động ngay cả khi người dùng áp dụng các biện pháp bảo vệ tốt nhất như khóa máy tính khi không sử dụng, quản trị viên hệ thống đã thiết lập Secure Boot, BIOS mạnh, cài đặt mật khẩu tài khoản hệ điều hành và kích hoạt mã hóa toàn bộ ổ đĩa”, nhà nghiên cứu đến từ Hà Lan cho hay.
Theo Ruytenberg, tất cả các thiết bị được sản xuất từ năm 2011 đều có nguy cơ bị tấn công nếu có cổng Thunderbolt, bao gồm cổng USB-C và Mini DisplayPort. Một số thiết bị mới hơn, được xuất xưởng từ năm 2019, có thể được trang bị biện pháp bảo vệ Kernel DMA, giúp giảm thiểu một số lỗ hổng Thunderspy. Nhà nghiên cứu cho biết một số thiết bị HP EliteBook và ZBook phiên bản mới hơn, Lenovo ThinkPad và Yoga có hỗ trợ hình thức bảo vệ này.
Các thiết bị của Apple chỉ bị ảnh hưởng một phần bởi các lỗ hổng.
Ruytenberg cảnh báo những lỗ hổng Thunerspy mà Kernel DMA không thể khống chế có thể khiến các thiết bị gặp nguy hiểm tương tự như vụ BadUSB.
Sáu trong số các lỗ hổng Thunderspy đã được báo cáo cho Intel và một lỗ hổng ảnh hưởng đến Boot Camp đã được thông báo đến Apple. Intel cho hay đã xác định được ba trong số đó và sẽ không phát hành thêm bất kỳ biện pháp bảo vệ nào ngoài Kernel DMA. Intel cũng cho biết sẽ không đưa ra các khuyến cáo an ninh công khai hoặc gán số CVE cho các lỗ hổng.
Ruytenberg còn cung cấp một công cụ mã nguồn mở và miễn phí có tên Spycheck để giúp người dùng check xem hệ thống của mình có bị tấn công Thunderspy hay không và đưa ra khuyến cáo bảo vệ hệ thống.
Theo Intel, các cuộc tấn công Thunderspy không thể thực hiện thành công trên các hệ thống được hỗ trợ Kernel DMA. Hãng khuyến cáo người dùng trang bị các biện pháp bảo mật tốt nhất đồng thời ngăn chặn việc truy cập vật lý không xác thực vào máy tính.
