Le chercheur en sécurité Björn Ruytenberg de l'université de technologie d'Eindhoven aux Pays-Bas a levé le voile sur une attaque baptisée Thunderspy en référence à de l'espionnage sur des ordinateurs équipés d'un port Thunderbolt.
" Si votre ordinateur dispose d'un tel port, un attaquant qui y a brièvement accès physiquement peut lire et copier toutes vos données, même si votre disque est chiffré et que votre ordinateur est verrouillé ou en veille. " Il souligne une attaque qui ne laisse pas de trace.
Selon Björn Ruytenberg, seulement cinq minutes suffisent à un attaquant pour parvenir à ses fins. Il doit néanmoins être muni d'un tournevis pour une opération de démontage léger et d'un matériel adéquat à transporter. Il s'agit notamment de modifier le firmware Thunderbolt pour désactiver la sécurité. On comprendra aisément qu'il ne s'agit pas d'une attaque à la portée de n'importe qui et peu susceptible de viser le grand public.
This has been a long time coming. Today we release Thunderspy. Find full details at https://t.co/TkanJmzCk6. Thanks to @a_greenberg for reporting. #Thunderspy #Intel #Thunderbolt https://t.co/WR9hGfJCbB
— Björn Ruytenberg (@0Xiphorus) May 11, 2020
Afin de déterminer si un système est vulnérable, un outil Spycheck a été développé. Il est proposé pour Windows et pour Linux. Un ordinateur Mac avec macOS ne serait par contre que partiellement affecté par Thunderspy.
Reste que tous les PC datant d'avant 2019 seraient vulnérables. Le chercheur en sécurité explique avoir trouvé 7 vulnérabilités dans la conception d'Intel et avoir développé 9 scénarios dits réalistes sur une exploitation " par une entité malveillante pour avoir accès au système, au-delà des défenses qu'Intel avait mis en place pour la protection. "
Prévenu en février dernier, Intel a justement réagi et pondère la gravité apparente de la situation. La vulnérabilité sous-jacente ne serait ainsi pas nouvelle. D'après Intel, une protection Kernel Direct Memory Access (DMA) a été implémentée en 2019 par les principaux systèmes d'exploitation afin d'atténuer de telles attaques.
Intel cite Windows 10 (à partir de la version 1803), Linux (noyau 5.x) et macOS à partir de la version 10.12.4. " Les chercheurs n'ont pas démontré la réussite des attaques DMA contre les systèmes avec les mesures d'atténuation en place. "
More information on Thunderbolt(TM) security in our latest blog post. https://t.co/lf6XLcwdwJ
— Jerry Bryant (@jnabryant) May 11, 2020
Le souci est que Kernel DMA Protection nécessite un support matériel adapté et ne profite pas de rétrocompatibilité pour d'anciens systèmes. Pour Windows 10, Microsoft avait fait mention de cette protection contre les attaques par accès direct à la mémoire à l'aide d'appareils PCI connectés à chaud aux ports Thunderbolt 3.
Les travaux de Björn Ruytenberg feront l'objet d'une présentation lors de la conférence de sécurité BlackHat USA 2020 en août prochain.