Thunderclap позволяет украсть информацию непосредственно из памяти ОС с помощью периферийных устройств.
Международная команда ученых из Университета Райса, Кембриджского университета и научно-исследовательского института SRI International опубликовала доклад, в котором описала новый метод атаки, позволяющий перехватить контроль над компьютером и получить доступ к важным данным путем подключения вредоносного устройства, работающего через порт Thunderbolt.
Атака, получившая название Thunderclap, предусматривает использование серии уязвимостей, которые могут быть проэксплуатированы через интерфейс Thunderbolt, предназначенный для подключения периферийных устройств к компьютеру.
Данные уязвимости затрагивают подавляющее большинство моделей ноутбуков и компьютеров, выпускаемых Apple с 2011 года. Кроме того, проблеме подвержены ноутбуки и десктопы, на которых могут быть запущены системы Windows и Linux, но при двух условиях: они должны быть относительно новыми (произведены не ранее 2016 года) и поддерживать Thunderbolt. Эксплуатация уязвимостей также возможна с помощью устройств, подключенных через шину PCI Express или чипы, припаянные непосредственно к материнской плате атакуемого компьютера.
По словам специалистов, Thunderclap затрагивает все версии Thunderbolt: Thunderbolt 1, Thunderbolt 2 и Thunderbolt 3. Суть проблемы заключается в том, что ОС автоматически доверяет устройству, подключенному через данный интерфейс. Таким образом, гаджету по умолчанию предоставляется полный доступ к памяти системы, в которой может храниться ценная информация, например, пароли, финансовые данные и пр. Кроме того, атакующие могут внедрить вредоносный код, который будет исполняться с максимальными привилегиями, предоставляя полный контроль над компьютером.
Атаки Thunderclap можно предотвратить на Windows-устройствах и некоторых Linux-системах, где есть механизм контроля доступа Thunderbolt, который выдает предупреждения при подключении устройств, однако, отмечают специалисты, многие пользователи часто игнорируют это уведомление. К тому же, предупреждение не отображается, если атака осуществляется через подключение к PCI Express.
Исследователи сообщили об уязвимостях производителям операционных систем еще в 2016 году. Apple и Microsoft частично исправили проблему с релизом обновлений для macOS (начиная с версии 10.12.4) и Windows (Windows 10). Инженеры Intel готовят к выпуску соответствующие патчи для ядра Linux. Как видно по таблице ниже, многие уязвимости все еще остаются неисправленными.
Более подробная информация об уязвимостях доступна в докладе исследователей.
Собираем и анализируем опыт профессионалов ИБ