Thunderbolt — это фирменный интерфейс аппаратного обеспечения, разработанный Intel . Он действует как интерфейс между компьютером и внешними устройствами. Хотя большинство компьютеров с Windows оснащены всевозможными портами, многие компании используют Thunderbolt для подключения к различным типам устройств. Это упрощает подключение, но, согласно исследованию Эйндховенского технологического университета^{(Eindhoven University)} , безопасность^(Technology) Thunderbolt может^{(Thunderbolt)} быть нарушена с помощью технологии Thunderspy . В этом посте мы поделимся советами, которым вы можете следовать, чтобы защитить свой компьютер от Thunderspy .

Что такое Тандерспай^(Tunderspy) ? Как это работает?

Это скрытая атака, которая позволяет злоумышленнику получить доступ к функциям прямого доступа к памяти ( DMA ) для взлома устройств. Самая большая проблема заключается в том, что не остается никаких следов, поскольку он работает без развертывания каких-либо вредоносных программ или приманок для ссылок. Он может обойти лучшие методы безопасности и заблокировать компьютер. Итак, как это работает? Злоумышленнику нужен прямой доступ к компьютеру. Согласно исследованиям, с правильными инструментами это занимает менее 5 минут.

Советы по защите от Thunderspy

Злоумышленник копирует прошивку контроллера Thunderbolt^{(Thunderbolt Controller Firmware)} исходного устройства на свое устройство. Затем он использует средство исправления прошивки ( TCFP ) для отключения режима безопасности, применяемого в прошивке Thunderbolt . Измененная версия копируется обратно на целевой компьютер с помощью устройства Bus Pirate . Затем к атакуемому устройству подключается атакующее устройство на базе Thunderbolt . Затем он использует инструмент PCILeech для загрузки модуля ядра, который обходит экран входа в систему Windows .

Таким образом, даже если на компьютере есть функции безопасности, такие как безопасная загрузка^{(Secure Boot)} , надежные пароли BIOS и учетных записей операционной системы, а также включено полное шифрование диска, он все равно будет обходить все.

СОВЕТ^(TIP) : Spycheck проверит, уязвим ли ваш компьютер для атаки Thunderspy .

Советы по защите от Thunderspy

Microsoft рекомендует^(recommends) три способа защиты от современной угрозы. Некоторые из этих функций, встроенных в Windows, можно использовать, а некоторые следует включить для смягчения последствий атак.

Защищенное ядро защиты ПК
Защита DMA ядра
Целостность кода, защищенная гипервизором ( HVCI )

Тем не менее, все это возможно на ПК с защищенным ядром. Вы просто не можете применить это на обычном ПК, потому что нет оборудования, которое может защитить его от атаки. Лучший способ узнать, поддерживает ли ваш компьютер его, — проверить раздел « Devic Security » в приложении « ^{(Devic Security)}Безопасность Windows^{(Windows Security)} » .

1] Защита ПК с защищенным ядром

Системная защита Защитника Windows

Windows Security , внутреннее программное обеспечение безопасности Microsoft, предлагает Windows Defender System Guard и безопасность на основе виртуализации. Однако вам потребуется устройство, использующее ПК с защищенным ядром^{(Secured-core PCs)} . Он использует корневую аппаратную защиту в современном ЦП^(CPU) для запуска системы в доверенное состояние. Это помогает смягчить попытки вредоносного ПО на уровне встроенного ПО.

2] Защита DMA ядра

Представленная в Windows 10 v1803 защита Kernel DMA гарантирует блокировку внешних периферийных устройств от атак с прямым доступом к памяти^{(Memory Access)} ( DMA ) с использованием устройств горячего подключения ^(DMA)PCI , таких как Thunderbolt . Это означает, что если кто-то попытается скопировать вредоносную прошивку Thunderbolt на машину, она будет заблокирована через порт Thunderbolt . Однако, если у пользователя есть логин и пароль, он сможет их обойти.

3] Усиление^(Hardening) защиты с помощью целостности кода , защищенной гипервизором ( ^{(Hypervisor-protected)}HVCI ) .

Отключить изоляцию ядра целостности памяти Безопасность Windows

Целостность кода, защищенная гипервизором, или HVCI должны быть включены в Windows 10 . Он изолирует подсистему целостности кода и проверяет, что код ядра^(Kernel) не проверен и не подписан Microsoft . Это также гарантирует, что код ядра не может быть доступен как для записи, так и для выполнения, чтобы гарантировать, что непроверенный код не будет выполняться.

Thunderspy использует инструмент PCILeech для загрузки модуля ядра, который обходит экран входа в Windows . Использование HVCI обязательно предотвратит это, поскольку не позволит выполнить код.

Безопасность всегда должна быть на первом месте, когда речь идет о покупке компьютеров. Если вы имеете дело с важными данными, особенно с бизнесом, рекомендуется приобрести ПК с защищенным ядром^{(Secured-core PC)} . Вот официальная страница таких устройств^{(such devices)} на сайте Microsoft.

Tips to protect your computer against Thunderspy attack

Thunderbolt is the hardware brand interface developed by Intel. It acts as an interface between computer and external devices. While most of the Windows computers come with all sorts of ports, many companies use Thunderbolt to connect to various types of devices. It makes connecting easy, but according to research at the Eindhoven University of Technology, the security behind Thunderbolt can be breached using a technique — Thunderspy. In this post, we will share tips you can follow to protect your computer against Thunderspy.

What is Tunderspy? How does it work?

Its a stealth attack that allows an attacker to access direct memory access (DMA) functionality to compromise devices. The biggest problem is that there is no trace left as it works without deploying any mind of malware or link bait. It can bypass the best security practices and lock the computer. So how does it work? The attacker needs direct access to the computer. According to the research, it takes less than5 minutes with the right tools.

Tips to protect against Thunderspy

The attacker copies the Thunderbolt Controller Firmware of the source device to his device. It then uses a firmware patcher (TCFP) to disable the security mode enforced in the Thunderbolt firmware. The modified version is copied back to the target computer using the Bus Pirate device. Then a Thunderbolt-based attack device is connected to the device being attacked. It then uses the PCILeech tool to load a kernel module that bypasses the Windows sign-in screen.

So even if the computer has security features like Secure Boot, strong BIOS, and operating system account passwords, and enabled full disk encryption, enabled, it will still bypass everything.

TIP: Spycheck will check if your PC is vulnerable to the Thunderspy attack.

Tips to protect against Thunderspy

Microsoft recommends three ways to protect against the modern threat. Some of these features that are built into Windows can be leveraged while some should be enabled to mitigate the attacks.

Secured-core PC protections
Kernel DMA protection
Hypervisor-protected code integrity (HVCI)

That said, all this is possible on a Secured-core PC. You simply cannot apply this on a regular PC because the hardware is not available that can secure it from the attack. The best way to find out if your PC supports it is by checking the Devic Security section of the Windows Security app.

1] Secured-core PC protections

Windows Defender System Guard

Windows Security, Microsoft’s in-house security software, offers Windows Defender System Guard and virtualization-based security. However, you need a device that uses Secured-core PCs. It uses rooted hardware security in the modern CPU to launch the system into a trusted state. It helps mitigate attempts made by malware at the firmware level.

2] Kernel DMA protection

Introduced in Windows 10 v1803, Kernel DMA protection makes sure to block external peripherals from Direct Memory Access (DMA) attacks using PCI hotplug devices such as Thunderbolt. It means if someone tries to copy malicious Thunderbolt firmware to a machine, it will be blocked over the Thunderbolt port. However, if the user has the username and password, he will be able to bypass it.

3] Hardening protection with Hypervisor-protected code integrity (HVCI)

Turn off Memory Integrity Core Isolation Windows Security

Hypervisor-protected code integrity or HVCI should be enabled on Windows 10. It isolates the code integrity subsystem and verified that there Kernel code is not verified and signed by Microsoft. It also ensures that kernel code cannot be both writable and executable to make sure unverified code does not execute.

Thunderspy uses the PCILeech tool to load a kernel module that bypasses the Windows sign-in screen. Using HVCI will make sure to prevent this as it will not allow it to execute the code.

Security should always be at the top when it comes to buying computers. If you deal with data that is important, especially with business, it is recommended to purchase Secured-core PC devices. Here is the official page of such devices on the Microsoft website.

Матвей Михайлов

About the author

Я разработчик бесплатного программного обеспечения и сторонник Windows Vista/7. Я написал несколько сотен статей на различные темы, связанные с операционной системой, включая советы и рекомендации, руководства по ремонту и рекомендации. Я также предлагаю консультационные услуги, связанные с офисом, через мою компанию Help Desk Services. Я хорошо понимаю, как работает Office 365, его функции и способы их наиболее эффективного использования.

Советы по защите компьютера от атаки Thunderspy

Что такое Тандерспай^(Tunderspy) ? Как это работает?