Το Thunderbolt^{(Thunderbolt)} είναι η διεπαφή μάρκας υλικού που αναπτύχθηκε από την Intel^(Intel) . Λειτουργεί ως διεπαφή μεταξύ υπολογιστή και εξωτερικών συσκευών. Ενώ οι περισσότεροι υπολογιστές με Windows διαθέτουν όλων των ειδών τις θύρες, πολλές εταιρείες χρησιμοποιούν το Thunderbolt για να συνδέονται με διάφορους τύπους συσκευών. Κάνει τη σύνδεση εύκολη, αλλά σύμφωνα με έρευνα στο Τεχνολογικό^(Technology) Πανεπιστήμιο του Αϊντχόβεν^{(Eindhoven University)} , η ασφάλεια πίσω από το Thunderbolt μπορεί να παραβιαστεί χρησιμοποιώντας μια τεχνική — Thunderspy . Σε αυτήν την ανάρτηση, θα μοιραστούμε συμβουλές που μπορείτε να ακολουθήσετε για να προστατέψετε τον υπολογιστή σας από το Thunderspy .

Τι είναι το Tunderspy^(Tunderspy) ; Πώς λειτουργεί;

Είναι μια μυστική επίθεση που επιτρέπει σε έναν εισβολέα να έχει πρόσβαση στη λειτουργία άμεσης πρόσβασης στη μνήμη ( DMA ) για να παραβιάσει συσκευές. Το μεγαλύτερο πρόβλημα είναι ότι δεν έχει μείνει κανένα ίχνος καθώς λειτουργεί χωρίς να αναπτύξει κανένα μυαλό κακόβουλου λογισμικού ή δόλωμα συνδέσμων. Μπορεί να παρακάμψει τις βέλτιστες πρακτικές ασφαλείας και να κλειδώσει τον υπολογιστή. Πως λειτουργεί, λοιπόν? Ο εισβολέας χρειάζεται άμεση πρόσβαση στον υπολογιστή. Σύμφωνα με την έρευνα, χρειάζονται λιγότερο από 5 λεπτά με τα κατάλληλα εργαλεία.

Ο εισβολέας αντιγράφει το υλικολογισμικό Thunderbolt Controller^{(Thunderbolt Controller Firmware)} της συσκευής προέλευσης στη συσκευή του. Στη συνέχεια, χρησιμοποιεί μια ενημερωμένη έκδοση υλικολογισμικού ( TCFP ) για να απενεργοποιήσει τη λειτουργία ασφαλείας που επιβάλλεται στο υλικολογισμικό Thunderbolt . Η τροποποιημένη έκδοση αντιγράφεται στον υπολογιστή προορισμού χρησιμοποιώντας τη συσκευή Bus Pirate . Στη συνέχεια, μια συσκευή επίθεσης που βασίζεται στο Thunderbolt συνδέεται με τη συσκευή που δέχεται επίθεση. ^{(Thunderbolt)}Στη συνέχεια, χρησιμοποιεί το εργαλείο PCILeech για να φορτώσει μια λειτουργική μονάδα πυρήνα που παρακάμπτει την οθόνη εισόδου των Windows .

Έτσι, ακόμα κι αν ο υπολογιστής διαθέτει χαρακτηριστικά ασφαλείας όπως Ασφαλής εκκίνηση^{(Secure Boot)} , ισχυρό BIOS και κωδικούς πρόσβασης λογαριασμού λειτουργικού συστήματος και ενεργοποιημένη την πλήρη κρυπτογράφηση δίσκου, θα παρακάμψει τα πάντα.

ΣΥΜΒΟΥΛΗ^(TIP) : Το Spycheck θα ελέγξει εάν ο υπολογιστής σας είναι ευάλωτος στην επίθεση Thunderspy .

Συμβουλές για προστασία από το Thunderpy

Η Microsoft συνιστά^(recommends) τρεις τρόπους προστασίας από τη σύγχρονη απειλή. Ορισμένες από αυτές τις δυνατότητες που είναι ενσωματωμένες στα Windows μπορούν να αξιοποιηθούν, ενώ κάποιες θα πρέπει να ενεργοποιηθούν για τον μετριασμό των επιθέσεων.

• Προστασία υπολογιστή με ασφαλή πυρήνα
• Προστασία DMA πυρήνα
• Ακεραιότητα κώδικα που προστατεύεται από Υπερεπόπτη ( HVCI )

Τούτου λεχθέντος, όλα αυτά είναι δυνατά σε έναν υπολογιστή ασφαλούς πυρήνα. Απλώς δεν μπορείτε να το εφαρμόσετε σε κανονικό υπολογιστή επειδή δεν είναι διαθέσιμο το υλικό που μπορεί να το προστατεύσει από την επίθεση. Ο καλύτερος τρόπος για να μάθετε εάν ο υπολογιστής σας το υποστηρίζει είναι ελέγχοντας την ενότητα Devic Security της εφαρμογής Windows Security .

1] Προστασία υπολογιστή με ασφαλή πυρήνα

Το Windows Security^{(Windows Security)} , το εσωτερικό λογισμικό ασφαλείας της Microsoft, προσφέρει προστασία συστήματος Windows Defender και ασφάλεια που βασίζεται σε εικονικοποίηση. Ωστόσο, χρειάζεστε μια συσκευή που χρησιμοποιεί υπολογιστές ασφαλούς πυρήνα^{(Secured-core PCs)} . Χρησιμοποιεί ριζωμένη ασφάλεια υλικού στη σύγχρονη CPU για την εκκίνηση του συστήματος σε μια αξιόπιστη κατάσταση. Βοηθά στον μετριασμό των προσπαθειών που γίνονται από κακόβουλο λογισμικό σε επίπεδο υλικολογισμικού.

2] Προστασία DMA πυρήνα

Η προστασία Kernel DMA^{(Kernel DMA)} , που εισήχθη στα Windows 10 v1803, φροντίζει να αποκλείει εξωτερικά περιφερειακά από επιθέσεις Direct Memory Access ( DMA ) χρησιμοποιώντας συσκευές hotplug PCI όπως το Thunderbolt . Σημαίνει ότι εάν κάποιος προσπαθήσει να αντιγράψει κακόβουλο υλικολογισμικό Thunderbolt σε ένα μηχάνημα, θα αποκλειστεί στη θύρα Thunderbolt . Ωστόσο, εάν ο χρήστης έχει το όνομα χρήστη και τον κωδικό πρόσβασης, θα μπορεί να το παρακάμψει.

3] Προστασία από σκλήρυνση^(Hardening) με ακεραιότητα κώδικα που προστατεύεται από Hypervisor ( ^{(Hypervisor-protected)}HVCI )

Στα Windows 10^{(Windows 10)} θα πρέπει να είναι ενεργοποιημένη η ακεραιότητα κώδικα ή το HVCI^(HVCI) που προστατεύεται από υπερεπόπτη . Απομονώνει το υποσύστημα ακεραιότητας κώδικα και επαληθεύει ότι ο κώδικας πυρήνα^(Kernel) δεν έχει επαληθευτεί και υπογραφεί από τη Microsoft^(Microsoft) . Διασφαλίζει επίσης ότι ο κώδικας του πυρήνα δεν μπορεί να είναι εγγράψιμος και εκτελέσιμος για να βεβαιωθείτε ότι ο μη επαληθευμένος κώδικας δεν εκτελείται.

Το Thunderspy^(Thunderspy) χρησιμοποιεί το εργαλείο PCILeech για να φορτώσει μια λειτουργική μονάδα πυρήνα που παρακάμπτει την οθόνη σύνδεσης των Windows . Η χρήση του HVCI^(HVCI) θα φροντίσει να το αποτρέψει αυτό, καθώς δεν θα του επιτρέψει να εκτελέσει τον κώδικα.

Η ασφάλεια πρέπει να είναι πάντα στην κορυφή όταν πρόκειται για την αγορά υπολογιστών. Εάν ασχολείστε με δεδομένα που είναι σημαντικά, ειδικά για επιχειρήσεις, συνιστάται η αγορά συσκευών υπολογιστή ασφαλούς πυρήνα . ^{(Secured-core PC)}Εδώ είναι η επίσημη σελίδα τέτοιων συσκευών^{(such devices)} στον ιστότοπο της Microsoft.

Tips to protect your computer against Thunderspy attack

Thunderbolt is the hardware brand interface developed by Intel. It acts as an interface between computer and external devices. While most of the Windows computers come with all sorts of ports, many companies use Thunderbolt to connect to various types of devices. It makes connecting easy, but according to research at the Eindhoven University of Technology, the security behind Thunderbolt can be breached using a technique — Thunderspy. In this post, we will share tips you can follow to protect your computer against Thunderspy.

What is Tunderspy? How does it work?

Its a stealth attack that allows an attacker to access direct memory access (DMA) functionality to compromise devices. The biggest problem is that there is no trace left as it works without deploying any mind of malware or link bait. It can bypass the best security practices and lock the computer.  So how does it work? The attacker needs direct access to the computer. According to the research, it takes less than5 minutes with the right tools.

The attacker copies the Thunderbolt Controller Firmware of the source device to his device. It then uses a firmware patcher (TCFP) to disable the security mode enforced in the Thunderbolt firmware. The modified version is copied back to the target computer using the Bus Pirate device. Then a Thunderbolt-based attack device is connected to the device being attacked. It then uses the PCILeech tool to load a kernel module that bypasses the Windows sign-in screen.

So even if the computer has security features like Secure Boot, strong BIOS, and operating system account passwords, and enabled full disk encryption, enabled, it will still bypass everything.

TIP: Spycheck will check if your PC is vulnerable to the Thunderspy attack.

Tips to protect against Thunderspy

Microsoft recommends three ways to protect against the modern threat. Some of these features that are built into Windows can be leveraged while some should be enabled to mitigate the attacks.

• Secured-core PC protections
• Kernel DMA protection
• Hypervisor-protected code integrity (HVCI)

That said, all this is possible on a Secured-core PC. You simply cannot apply this on a regular PC because the hardware is not available that can secure it from the attack. The best way to find out if your PC supports it is by checking the Devic Security section of the Windows Security app.

1] Secured-core PC protections

Windows Security, Microsoft’s in-house security software, offers Windows Defender System Guard and virtualization-based security. However, you need a device that uses Secured-core PCs. It uses rooted hardware security in the modern CPU to launch the system into a trusted state. It helps mitigate attempts made by malware at the firmware level.

2] Kernel DMA protection

Introduced in Windows 10 v1803, Kernel DMA protection makes sure to block external peripherals from Direct Memory Access (DMA) attacks using PCI hotplug devices such as Thunderbolt. It means if someone tries to copy malicious Thunderbolt firmware to a machine, it will be blocked over the Thunderbolt port. However, if the user has the username and password,  he will be able to bypass it.

3] Hardening protection with Hypervisor-protected code integrity (HVCI)

Hypervisor-protected code integrity or HVCI should be enabled on Windows 10. It isolates the code integrity subsystem and verified that there Kernel code is not verified and signed by Microsoft. It also ensures that kernel code cannot be both writable and executable to make sure unverified code does not execute.

Thunderspy uses the PCILeech tool to load a kernel module that bypasses the Windows sign-in screen. Using HVCI will make sure to prevent this as it will not allow it to execute the code.

Security should always be at the top when it comes to buying computers. If you deal with data that is important, especially with business, it is recommended to purchase Secured-core PC devices. Here is the official page of such devices on the Microsoft website.

Related posts

• Πώς να αποφύγετε τις απάτες και τις επιθέσεις phishing;

• Τι είναι το Remote Access Trojan; Πρόληψη, Ανίχνευση & Αφαίρεση

• Αφαιρέστε τον ιό από τη μονάδα flash USB χρησιμοποιώντας τη γραμμή εντολών ή το αρχείο δέσμης

• Rogue Security Software or Scareware: Πώς να ελέγξετε, να αποτρέψετε, να αφαιρέσετε;

• Τι είναι το Win32:BogEnt και πώς να το αφαιρέσετε;

• Τι είναι το FileRepMalware; Πρέπει να το αφαιρέσετε;

• Πώς να ελέγξετε εάν ένα αρχείο είναι κακόβουλο ή όχι στα Windows 11/10

• Πώς να αφαιρέσετε το Virus Alert από τη Microsoft σε υπολογιστή με Windows

• Πώς να αποτρέψετε κακόβουλο λογισμικό - Συμβουλές για την ασφάλεια των Windows 11/10

• Τι είναι το CandyOpen; Πώς να αφαιρέσετε το CandyOpen από τα Windows 10;

• Πώς να απεγκαταστήσετε ή να αφαιρέσετε το Driver Tonic από τα Windows 10

• Διεργασία με το λογότυπο των Microsoft Windows στη Διαχείριση εργασιών. Είναι ιός;

• Οι καλύτεροι διαδικτυακοί διαδικτυακοί σαρωτές κακόβουλου λογισμικού για τη σάρωση ενός αρχείου

• Εργαλεία απομακρυσμένης διαχείρισης: Κίνδυνοι, Απειλές, Πρόληψη

• 3 τρόποι για να απαλλαγείτε από ιούς, λογισμικό κατασκοπείας και κακόβουλο λογισμικό

• Το Crystal Security είναι ένα δωρεάν εργαλείο ανίχνευσης κακόβουλου λογισμικού που βασίζεται στο Cloud για υπολογιστή

• Πώς να αφαιρέσετε τον ιό από τα Windows 11/10. Οδηγός αφαίρεσης κακόβουλου λογισμικού

• Τι είναι οι επιθέσεις Living Off The Land; Πώς να παραμείνετε ασφαλείς;

• Πώς αναγνωρίζει η Microsoft κακόβουλο λογισμικό και δυνητικά ανεπιθύμητες εφαρμογές

• Εισβολή προγράμματος περιήγησης και δωρεάν εργαλεία αφαίρεσης του αεροπειρατή προγράμματος περιήγησης