Thunderbolt je rozhranie značky hardvéru vyvinuté spoločnosťou Intel . Funguje ako rozhranie medzi počítačom a externými zariadeniami. Zatiaľ čo väčšina počítačov so systémom Windows^(Windows) sa dodáva so všetkými druhmi portov, mnoho spoločností používa Thunderbolt na pripojenie k rôznym typom zariadení. Vďaka tomu je pripojenie jednoduché, ale podľa výskumu na Eindhovenskej technologickej univerzite^{(Eindhoven University)} možno bezpečnosť^(Technology) Thunderboltu prelomiť^{(Thunderbolt)} pomocou techniky — Thunderspy . V tomto príspevku sa podelíme o tipy, podľa ktorých môžete chrániť svoj počítač pred Thunderspy .

Čo je Tunderspy ? Ako to funguje?

Ide o tajný útok, ktorý umožňuje útočníkovi získať prístup k funkcii priameho prístupu do pamäte ( DMA ) na kompromitovanie zariadení. Najväčším problémom je, že nezostala žiadna stopa, pretože funguje bez nasadenia akéhokoľvek škodlivého softvéru alebo návnady na prepojenie. Dokáže obísť najlepšie bezpečnostné postupy a uzamknúť počítač. Ako to teda funguje? Útočník potrebuje priamy prístup k počítaču. Podľa výskumu to so správnymi nástrojmi trvá menej ako 5 minút.

Útočník skopíruje firmvér ovládača Thunderbolt^{(Thunderbolt Controller Firmware)} zdrojového zariadenia do svojho zariadenia. Potom použije opravu firmvéru ( TCFP ) na deaktiváciu bezpečnostného režimu vynúteného vo firmvéri Thunderbolt . Upravená verzia sa skopíruje späť do cieľového počítača pomocou zariadenia Bus Pirate . Potom sa k napadnutému zariadeniu pripojí útočné zariadenie založené na Thunderbolt . Potom pomocou nástroja PCILeech načíta modul jadra, ktorý obchádza prihlasovaciu obrazovku systému Windows .^(Windows)

Takže aj keď má počítač funkcie zabezpečenia, ako je Secure Boot , silný BIOS a heslá účtov operačného systému a povolené úplné šifrovanie disku, stále obíde všetko.

TIP : Spycheck skontroluje, či je váš počítač zraniteľný voči útoku Thunderspy .

Tipy na ochranu pred Thunderspy

Microsoft odporúča^(recommends) tri spôsoby ochrany pred modernou hrozbou. Niektoré z týchto funkcií, ktoré sú zabudované do systému Windows, možno využiť, zatiaľ čo niektoré by mali byť povolené na zmiernenie útokov.

• Zabezpečené jadro ochrany počítača
• Ochrana jadra DMA
• Integrita kódu chránená hypervízorom ( HVCI )

To všetko je však možné na počítači so zabezpečeným jadrom. Na bežnom PC to jednoducho nemôžete použiť, pretože nie je k dispozícii hardvér, ktorý by ho dokázal zabezpečiť pred útokom. Najlepší spôsob, ako zistiť, či to váš počítač podporuje, je skontrolovať sekciu Zabezpečenie zariadenia v aplikácii ^{(Devic Security)}Zabezpečenie systému Windows^{(Windows Security)} .

1] Zabezpečené jadro ochrany počítača

Windows Security , interný bezpečnostný softvér spoločnosti Microsoft, ponúka ochranu systému Windows Defender a zabezpečenie založené na virtualizácii. Potrebujete však zariadenie, ktoré používa počítače so zabezpečeným jadrom^{(Secured-core PCs)} . Na spustenie systému do dôveryhodného stavu využíva zakorenené hardvérové ​​zabezpečenie v modernom CPU . Pomáha zmierniť pokusy škodlivého softvéru na úrovni firmvéru.

2] Ochrana DMA jadra

Ochrana jadra DMA^{(Kernel DMA)} , predstavená v systéme Windows 10^{(Windows 10)} v1803, zaisťuje blokovanie externých periférnych zariadení pred útokmi s priamym prístupom do pamäte^{(Memory Access)} ( DMA ) pomocou zariadení ^(DMA)PCI hotplug, ako je napríklad Thunderbolt . To znamená, že ak sa niekto pokúsi skopírovať škodlivý firmvér Thunderbolt do počítača, bude zablokovaný cez port Thunderbolt . Ak však používateľ má používateľské meno a heslo, bude ho môcť obísť.

3] Ochrana spevnenia^(Hardening) s integritou kódu chránenou Hypervisorom ( ^{(Hypervisor-protected)}HVCI )

Integrita kódu chránená hypervízorom alebo HVCI by mala byť povolená v systéme Windows 10^{(Windows 10)} . Izoluje subsystém integrity kódu a overí, že kód jadra^(Kernel) nie je overený a podpísaný spoločnosťou Microsoft . Zabezpečuje tiež, že kód jadra nemôže byť zapisovateľný aj spustiteľný, aby sa zabezpečilo, že sa nespustí neoverený kód.

Thunderspy používa nástroj PCILeech na načítanie modulu jadra, ktorý obchádza prihlasovaciu obrazovku systému Windows . ^(Windows)Použitím HVCI sa tomu zabráni, pretože mu neumožní spustiť kód.

Bezpečnosť by mala byť vždy na prvom mieste, pokiaľ ide o nákup počítačov. Ak sa zaoberáte údajmi, ktoré sú dôležité, najmä v podnikaní, odporúča sa zakúpiť si zabezpečené jadrové PC^{(Secured-core PC)} zariadenia. Tu je oficiálna stránka takýchto zariadení^{(such devices)} na webovej stránke spoločnosti Microsoft.

Tips to protect your computer against Thunderspy attack

Thunderbolt is the hardware brand interface developed by Intel. It acts as an interface between computer and external devices. While most of the Windows computers come with all sorts of ports, many companies use Thunderbolt to connect to various types of devices. It makes connecting easy, but according to research at the Eindhoven University of Technology, the security behind Thunderbolt can be breached using a technique — Thunderspy. In this post, we will share tips you can follow to protect your computer against Thunderspy.

What is Tunderspy? How does it work?

Its a stealth attack that allows an attacker to access direct memory access (DMA) functionality to compromise devices. The biggest problem is that there is no trace left as it works without deploying any mind of malware or link bait. It can bypass the best security practices and lock the computer.  So how does it work? The attacker needs direct access to the computer. According to the research, it takes less than5 minutes with the right tools.

The attacker copies the Thunderbolt Controller Firmware of the source device to his device. It then uses a firmware patcher (TCFP) to disable the security mode enforced in the Thunderbolt firmware. The modified version is copied back to the target computer using the Bus Pirate device. Then a Thunderbolt-based attack device is connected to the device being attacked. It then uses the PCILeech tool to load a kernel module that bypasses the Windows sign-in screen.

So even if the computer has security features like Secure Boot, strong BIOS, and operating system account passwords, and enabled full disk encryption, enabled, it will still bypass everything.

TIP: Spycheck will check if your PC is vulnerable to the Thunderspy attack.

Tips to protect against Thunderspy

Microsoft recommends three ways to protect against the modern threat. Some of these features that are built into Windows can be leveraged while some should be enabled to mitigate the attacks.

• Secured-core PC protections
• Kernel DMA protection
• Hypervisor-protected code integrity (HVCI)

That said, all this is possible on a Secured-core PC. You simply cannot apply this on a regular PC because the hardware is not available that can secure it from the attack. The best way to find out if your PC supports it is by checking the Devic Security section of the Windows Security app.

1] Secured-core PC protections

Windows Security, Microsoft’s in-house security software, offers Windows Defender System Guard and virtualization-based security. However, you need a device that uses Secured-core PCs. It uses rooted hardware security in the modern CPU to launch the system into a trusted state. It helps mitigate attempts made by malware at the firmware level.

2] Kernel DMA protection

Introduced in Windows 10 v1803, Kernel DMA protection makes sure to block external peripherals from Direct Memory Access (DMA) attacks using PCI hotplug devices such as Thunderbolt. It means if someone tries to copy malicious Thunderbolt firmware to a machine, it will be blocked over the Thunderbolt port. However, if the user has the username and password,  he will be able to bypass it.

3] Hardening protection with Hypervisor-protected code integrity (HVCI)

Hypervisor-protected code integrity or HVCI should be enabled on Windows 10. It isolates the code integrity subsystem and verified that there Kernel code is not verified and signed by Microsoft. It also ensures that kernel code cannot be both writable and executable to make sure unverified code does not execute.

Thunderspy uses the PCILeech tool to load a kernel module that bypasses the Windows sign-in screen. Using HVCI will make sure to prevent this as it will not allow it to execute the code.

Security should always be at the top when it comes to buying computers. If you deal with data that is important, especially with business, it is recommended to purchase Secured-core PC devices. Here is the official page of such devices on the Microsoft website.

Related posts

• Ako sa vyhnúť phishingovým podvodom a útokom?

• Čo je trójsky kôň pre vzdialený prístup? Prevencia, detekcia a odstraňovanie

• Odstráňte vírus z jednotky USB Flash pomocou príkazového riadka alebo dávkového súboru

• Nečestný bezpečnostný softvér alebo Scareware: Ako skontrolovať, zabrániť, odstrániť?

• Čo je Win32:BogEnt a ako ho odstrániť?

• 3 spôsoby, ako sa zbaviť vírusov, spywaru a malvéru

• Proces loga Microsoft Windows v Správcovi úloh; Je to vírus?

• Bezsúborové útoky, ochrana a detekcia škodlivého softvéru

• Ako odstrániť malvér z telefónu s Androidom

• Ako používať Malwarebytes Anti-Malware na odstránenie škodlivého softvéru

• Čo je vírus IDP.generic a ako ho odstrániť?

• Bezplatné nástroje na odstránenie škodlivého softvéru na odstránenie špecifického vírusu v systéme Windows 11/10

• Čo je FileRepMalware? Mali by ste to odstrániť?

• Cryptojacking nová hrozba ťažby prehliadača, o ktorej musíte vedieť

• Čo je CandyOpen? Ako odstrániť CandyOpen z Windows 10?

• Oprava chyby vyhľadávania zlyhala pri spustení programu Chrome Malware Scanner

• Ako odstrániť Chromium Virus z Windows 11/10

• Najlepšie skenery vírusov a malvéru ZARUČUJÚ rozbiť akýkoľvek vírus

• Zabráňte sťahovaniu súborov Drive-by a súvisiacim útokom škodlivého softvéru

• Ako zabrániť malvéru - Tipy na zabezpečenie systému Windows 11/10