El investigador de seguridad Björn Ruytenberg publicado un análisis de seguridad del protocolo Thunderbolt el 17 de abril de 2020 titulado «Breaking Thunderbolt Protocol Security»: Informe de vulnerabilidad». Descubrió varias vulnerabilidades de seguridad en el protocolo Thunderbolt que pueden ser explotadas por los atacantes locales para acceder a todos los datos, incluso en sistemas con unidades encriptadas y si la computadora está bloqueada o en modo de suspensión.
En el análisis se revelan un total de siete vulnerabilidades, que afectan a «todos los sistemas de ordenadores portátiles y de escritorio equipados con un controlador de host familiar Thunderbolt 2 y/o Thunderbolt 3 que emplee niveles de seguridad». Todos los sistemas operativos de Microsoft desde Windows 7 a Windows 10 y todas las versiones del kernel de Linux desde el kernel 4.13 están afectados. Los sistemas Apple Macintosh están afectados sólo parcialmente debido a las medidas de seguridad adicionales que están en su lugar por defecto.
Actualización: Intel respondió a Thunderspy afirmando que las nuevas versiones de Windows 10, Mac OS X y Linux soportaban una característica llamada protección de Acceso Directo a la Memoria del Kernel (DMA) que mitigaba los ataques descritos en el documento de investigación. Microsoft publicado un artículo sobre esto aquí en su sitio web Docs. En los sistemas que ejecutan al menos Windows 10 versión 1803, los administradores pueden ir a Inicio > Configuración > Actualización y seguridad > Seguridad de Windows > Seguridad de Windows abierto > Seguridad de dispositivos > Detalles de aislamiento del núcleo > Protección de acceso a la memoria para verificar que la protección de acceso a la memoria está activada; esto requiere un soporte de firmware UEFI y no es compatible con otras contramedidas de ataques DMA de BitLocker. Fin
Todos los ataques requieren un breve acceso local al sistema, pero el sistema en sí puede estar bloqueado o en estado de suspensión. El documento describe varios escenarios de explotación que requieren un acceso local al dispositivo.
El investigador ha creado un programa que comprueba los dispositivos con puertos Thunderbolt. La aplicación está disponible para Windows y Linux; la versión de Windows puede ser descargada desde el Sitio web de Thunderspy. Es compatible con Windows 7 y versiones más recientes de Windows, y con el kernel de Linux 3.16 y Pyton 3.4 y posteriores en los dispositivos de Linux.
Spycheck le pide que identifique los puertos del dispositivo, que pueden ser USB-C o Mini-DisplayPort con símbolo de relámpago o sin símbolo de relámpago. Pulse el siguiente botón una vez que haya identificado el puerto correcto para que compruebe ese puerto. Los dispositivos sin puertos de rayos aparecerán como «no vulnerables» automáticamente. Se muestran sugerencias sobre cómo solucionar el problema si la aplicación encuentra un dispositivo vulnerable.
El investigador creó videos de demostración; el primero demuestra cómo desbloquear PCs con Windows en 5 minutos explotando las vulnerabilidades.
El segundo video muestra cómo desactivar toda la seguridad de Thunderbolt en un PC con Windows de forma permanente.
Ahora tú: ¿Utiliza dispositivos con puertos Thunderbolt? ¿Son sus dispositivos vulnerables? (a través de Deskmodder)