Noticias
«Thunderclap»: vulnerabilidades en Thunderbolt deja a los PCs abiertos a ataques
Un equipo de investigadores universitarios han creado una plataforma de matriz de puertas programable de código abierto (FPGA) denominada «Thunderclap«, para demostrar que un atacante podría lograr el control de las computadoras aprovechando un conjunto de vulnerabilidades en el puerto Thunderbolt.
Thunderbolt es el puerto de interconexión de periféricos más avanzado de la industria. Desarrollado por Intel bajo el nombre en clave ‘Alpine Ridge’, se trata de una tecnología de entrada/salida basada en la fotónica del silicio, pero bajo comunicación óptica, los que aporta mayor capacidad y velocidad.
Thunderbolt está disponible en las computadoras modernas a través de puertos USB-C o Display Port en sus versiones anteriores. Brinda acceso directo a la memoria de bajo nivel (DMA) con niveles de privilegios mucho más altos que los periféricos USB tradicionales y de ahí se derivan esas vulnerabilidades en Thunderbolt,
Conocidas desde hace algunos años y parcialmente parcheadas, los investigadores explican que «Thunderclap» permite ataques a casi cualquier computadora o servidor con puertos de entrada / salida Thunderbolt y conectores PCI-Express usando periféricos maliciosos habilitados para DMA.
«Si no se usan defensas en el host, un atacante tiene acceso a la memoria sin restricciones y puede tomar el control completo de una computadora objetivo: puede robar contraseñas, conexiones bancarias, claves de cifrado, sesiones de navegador y archivos privados, y también puede inyectar archivos maliciosos y ejecutarlos en cualquier parte del sistema», explican en un extenso informe investigadores de la Universidad de Cambridge, la Universidad Rice y el SRI. Internacional.
La principal defensa contra este tipo de ataques es la unidad de administración de memoria de entrada-salida (IOMMU) que permite a los dispositivos acceder solo a la memoria necesaria para realizar un determinada tarea. Sin embargo, habilitar IOMMU para proteger contra ataques DMA tiene un alto costo de rendimiento y por ello no está habilitado por defecto en todos los sistemas, especialmente los más antiguos con Thunderbolt.
Ningún sistema está libre completamente de Thunderclap
Microsoft introdujo protección DMA a nivel del Kernel para Thunderbolt 3 en Windows 10 versión 1803 y posteriores, pero los anteriores siguen siendo vulnerables. También los que se conectan a puertos PCIe y anteriores versiones de Thunderbolt a través de Display Port.
Apple reparó la vulnerabilidad desde macOS 10.12.4 y el sistema utiliza IOMMU, pero incluso con la defensa de hardware habilitada los investigadores pudieron usar una tarjeta de red falsa para leer el tráfico de datos.
Los sistemas de código abierto FreeBSD y Linux son compatibles con IOMMU, pero no está habilitado de forma predeterminada en muchas distribuciones GNU. Al igual que con macOS, los investigadores pudieron ejecutar código arbitrario con altos niveles de privilegios en FreeBSD y Linux, y leer el tráfico de datos, usando la tarjeta de red falsa.
Además, en Linux, la tarjeta de red tuvo acceso a las estructuras de datos del kernel y fue posible omitir la IOMMU completamente al configurar algunos campos de opción en los mensajes enviados por los dispositivos maliciosos que los investigadores crearon. Intel ha anunciado parches para el kernel de Linux 5.0 para habilitar el IOMMU en periféricos Thunderbolt.
No hay una solución al 100% para esta vulnerabilidad, aseguran los investigadores, por lo que sugieren a los usuarios preocupados por la amenaza que deshabiliten Thunderbolt en las BIOS/UEFI. Otra opción -más equilibrada- es no dejar desatendidas las computadoras portátiles y tener el máximo cuidado con los accesorios o periféricos que pinchamos en el puerto, porque desarrollos como Thunderclap o cualquier otro similar, necesitan acceso físico al equipo.
Más información de Thunderclap – FAQ – Informe PDF