contador gratis Saltar al contenido

Thunderclap, para que el hacker pueda ingresar al puerto Thunderbolt

septiembre 17, 2020

Escriba este nombre: Thunderclap. Aunque es poco probable, podría ser la herramienta que podría pasar un ciberataque a través del puerto Thunderbolt. La serie de vulnerabilidades explotadas por Thundeclap han sido identificadas por investigadores de la Universidad de Cambridge, la Universidad de Rice y SRI International; estos son defectos, denominados colectivamente Thunderclap, de hecho, que podrían permitirle atacar una computadora utilizando dispositivos ad hoc conectados a este tipo de puerto.

Los investigadores explican en un PDF las peculiaridades de Thunderbolt que teóricamente permiten atacar una computadora objetivo utilizando periféricos que explotan los mecanismos DMA (Memoria de acceso directo). Debido a que el puerto Thunderbolt en las computadoras de última generación viene con el conector USB-C y ofrece acceso directo a memoria de bajo nivel (DMA) con privilegios muy altos de lo que es posible con los periféricos USB tradicionales, es una ruta de acceso muy privilegiado y potencialmente muy peligroso.

“Si no hay ningún mecanismo de defensa en el host, un atacante puede obtener acceso sin restricciones a la memoria y puede tomar el control de una computadora objetivo: robando contraseñas, credenciales, claves de cifrado, sesiones de navegador y archivos privados”, se lee. en el documento; “También pueden inyectar software malicioso ejecutable en cualquier parte del sistema”.

rayo

El mecanismo de defensa que permite al sistema operativo protegerse de estos ataques es elunidad de gestión de memoria de entrada-salida (IOMMU), unidad que permite a los dispositivos acceder solo a aquellas áreas de memoria necesarias para realizar determinadas tareas. Habilitar el IOMMU tiene una desventaja en términos de rendimiento y en muchos sistemas operativos esta unidad está deshabilitada de forma predeterminada.

Los investigadores descubrieron que Windows 7 y Windows 8, así como Windows 10 Home y Pro, no son compatibles con IOMMU en absoluto. Windows 10 Enterprise puede explotar IOMMU, pero solo de manera limitada y de una manera que aún hace que los sistemas sean vulnerables.

Los investigadores han trabajado con varios proveedores desde 2016 para ayudar a mitigar problemas potenciales, y Microsoft ha integrado Kernel DMA Protection para Thunderbolt 3 a partir de Windows 10 versión 1803. Esta protección habilita la IOMMU para dispositivos Thunderbolt pero no para Dispositivos PCIe. Se requiere soporte de firmware y, en la práctica, los viejos portátiles presentados antes de la llegada de la versión 1803 de Windows 10 podrían seguir siendo vulnerables sin actualizaciones específicas de proveedores.

macOS usa IOMMU como estándar, pero incluso con esta protección activa, los investigadores informan que pudieron usar una tarjeta de red falsa para leer el tráfico de datos que debería haber permanecido confinado en ciertas áreas. Desde la tarjeta de red en cuestión, fue posible ejecutar arbitrariamente programas con privilegios de administrador del sistema y leer la pantalla de Mac y lo que se escribió con el teclado USB. Apple ha solucionado la vulnerabilidad de macOS 10.12.4 pero según los investigadores, el alcance general potencial del ataque sigue siendo extenso.

Los sistemas operativos FreeBSD y Linux de código abierto son compatibles con IOMMU, pero esta unidad no está activa de forma predeterminada en varias distribuciones y es posible ejecutar código arbitrario con privilegios elevados, leer tráfico de datos y explotar tarjetas de red ficticias. En Linux, las tarjetas de red ficticias pueden acceder al árbol del kernel y omitir por completo la configuración de IOMMU. Intel ha parcheado el kernel de Linux 5.0 habilitando IOMMU para periféricos Thunderbolt y deshabilitando características que le permiten eludir las defensas de hardware. El consejo es no permitir que nadie conecte dispositivos USB-C desconocidos al puerto Thunderbolt y no confiar en las estaciones de carga USB-C que se ofrecen en algunos establecimientos.