「Thunderspy 攻擊」蠢蠢欲動!駭客只需 5 分鐘便能透過 Thunderbolt 竊取 PC 資料

作者 | 發布日期 2020 年 05 月 12 日 13:14 | 分類 筆記型電腦 , 網路 , 資訊安全 Telegram share ! follow us in feedly


每個人都有很多理由及做法,不讓自己的筆記型電腦陷入無人看管的窘境,但是一位荷蘭研究人員卻發現了另一個人們無能為力的安全漏洞。面對你的電腦,駭客只需一把螺絲起子,就可在短短 5 分鐘的時間裡利用你電腦上的 Thunderbolt 連接埠讀取並複製所有資料,不論你的電腦是處於加密、鎖定,還是設成睡眠狀態都一樣。 

荷蘭恩荷芬理工大學(Eindhoven University of Technology)研究人員 Björn Ruytenberg 在一份報告中詳細介紹了這種被稱之為「Thunderspy」的攻擊手法。問題在於 Thunderbolt 屬於基於 PCIe 的連接埠,這意味這些連接埠支援直接記憶體存取(Direct Memory Access,DMA)技術,並且允許駭客可透過週邊裝置直接存取系統的記憶體。

別讓電腦陷入無人看管的「邪惡女僕攻擊」情境,徒增駭客長驅直入風險

在所謂的「邪惡女僕攻擊」(Evil Maid Attack)中,惡意駭客所要做的就只是卸掉筆電背板螺絲、打開背板,連接週邊裝置,重新編寫韌體,重新蓋上並鎖緊背板,然後就大功告成了。這時惡意駭客便取得完全存取這台電腦的權限。使用者大可上 Thunderspy.io 網站上觀看一段有關 Thunderspy 攻擊手法的視訊影片,令人不寒而慄的是,整個過程就只需要大約 5 分鐘就搞定了。

雖然上述攻擊手法確實需要有人親自在現場卸下筆電的背板,但最令人不安的是,它可以完全規避像是安全啟動(Secure Boot)、強健式 BIOS、OS 作業系統密碼以及全磁碟加密等最佳安全實踐。Thunderspy 攻擊十分隱密,這意味著它不會留下電腦被人篡改的任何痕跡。它也不需要潛在受害者的任何配合之舉(例如受害者點擊網路釣魚連結、下載惡意軟體等)。

Thunderspy 攻擊對 Thunderbolt 1/2/3 三個版本都會造成影響,在一篇部落格貼文的總結中,Ruytenberg 列舉出會導致 9 種「實效性漏洞入侵」情境的 7 個具體漏洞。令人擔憂的是,恩荷芬理工大學研究人員表示,這些漏洞無法透過軟體修補來解決,所以有可能會進一步對即將發布的 USB4 和 Thunderbolt 4 等未來標準造成影響。Ruytenberg 針對受到影響的系統指出,凡在 2011 年至 2020 年之間出貨之所有搭載 Thunderbolt 連接埠的 Windows 及 Linux 電腦皆會受到影響。

同時根據 Ruytenberg 的報告指出,Mac 電腦在使用 macOS 時只會受到部分影響。蘋果(Apple)告訴恩荷芬理工大學研究人員,因為只有在透過 Boot Camp 公用程式運行 Windows 或 Linux 系統時才會對 Mac 電腦有所影響。

檢查電腦是否支援 Kernel DMA 保護機制,或透過 Spycheck 工具掃描一番

Ruytenberg 3 個月前向英特爾(Intel)分享了他關於 Thunderspy 的研究結果。現在是 Thunderbolt 技術主要開發商(其最初與蘋果一起開發)的英特爾卻告知他,「其不會為解決 Thunderspy 漏洞提供任何緩解措施」,包括發布安全公告以通知大眾。不過,英特爾確實寫了一篇解決 Thunderspy 漏洞的部落格貼文,並聲稱已在 Tunderclap 漏洞之後的 2019 年修補了這個安全疑慮。

所謂 Tunderclap 漏洞是去年發現的一種 Thunderbolt 週邊漏洞,駭客可透過名為內核直接記憶體存取(Kernel DMA)的安全機制來發動漏洞入侵攻擊。它還建議人們務必只使用「可信任週邊裝置」,並防止任何對電腦的「未經授權實體存取」之舉。

如果你的電腦具備內核直接記憶體存取保護機制就太好了,但是問題是,你很難在 2019 年之前生產的電腦上找到這項保護機制,甚至,2019 年以後上市的電腦也不一定會支援這樣的功能。根據《Wired》雜誌報導,沒有一台戴爾(Dell)電腦具備該功能,包括 2019 年以後上市電腦也一樣。包括 HP EliteBook/ZBook 2019、聯想(Lenovo)ThinkPad P53/X1 Carbon 2019 和搭載 Ice Lake CPU 的聯想 Yoga C940 等筆電上就有支援上述保護機制。

只要使用者不要讓自己的筆電處於無人看管狀況或落入可疑怪人手中,那麼就不會出現讓自己崩潰的局面。進一步而言,使用者不應該將自己的 Thunderbolt 週邊裝置借給任何人,也不應該在無人看管的情況下讓電腦進入睡眠狀態,即使螢幕已被鎖定也不行。

如果你真的很擔心的話,恩荷芬理工大學研究人員開發了一種名為 Spycheck 的免費開放原始碼工具,可以幫助使用者確認自己電腦是否存在可能招致攻擊的漏洞,以及可以保護電腦的方法。當然,使用者大可完全禁用 Thunderbolt 連接埠,但這難免有點太過偏執,畢竟這麼做就再也無法正常享用 Thunderbolt 帶來的資料傳輸快感。

(首圖來源:影片截圖)