Têm sido catalogadas falhas nos sistemas e plataformas. Conforme vimos, o Zoom, por exemplo, foi um forte visado. Também o Microsoft Teams e vários outros sistemas estiveram na mira dos hackers. Agora, um investigador da Universidade de Tecnologia de Eindhoven descobriu uma vulnerabilidade batizada como “Thunderspy” na porta Thunderbolt da Intel que basicamente permite que um atacante com acesso físico ao dispositivo roube dados em poucos minutos.
Tudo o que o invasor precisa é de 5 minutos com o computador, uma chave de fendas e algum hardware facilmente portátil.
Thunderspy usa falha na porta Thunderbolt para atacar computador
Se os acessos remotos às máquinas são um problema, pois podem ser perpetrados de qualquer parte do mundo, exigem uma combinação de cenários nem sempre fácil de obter. Já os ataques diretos à máquina, estando a pessoa fisicamente ao pé dela, podem ser bastante danosos. Assim, pese o facto do ataque Thunderspy exigir acesso físico ao próprio dispositivo, é possível roubar dados, mesmo com o aparelho bloqueado, criptografado ou em suspensão.
No vídeo abaixo é possível ver o investigador de segurança a demonstrar o ataque para conseguir o acesso aos dados em apenas cinco minutos.
A Intel respondeu ao relatório do investigador, onde era afirmado que os sistemas operativos, como o Windows 10 v1803 e posteriores, o kernel Linux 5.x e posteriores e o macOS 10.12.4 e posteriores já implementaram a proteção Kernel Direct Memory Access (DMA), para mitigar e prevenir estes ataques.
A empresa também referiu que “o investigador demonstrou ataques bem sucedidos de DMA contra sistemas com estas mitigações ativadas”.
Problema continua em dispositivos com Thunderbolt produzidos antes de 2019
Apesar de haver já uma proteção para os dispositivos “recentes”, a verdade é que este tipo de proteção não foi implementado universalmente e é, de facto, incompatível com os periféricos Thunderbolt feitos antes de 2019.
Conforme foi referido nos testes, o investigador Björn Ruytenberg, da Universidade de Tecnologia de Eindhoven, não encontrou máquinas Dell que tenham a proteção Kernel DMA, incluindo as de 2019 ou posteriores. Assim, só foi possível verificar que alguns modelos HP e Lenovo de 2019 ou posteriores utilizam esta proteção. Os investigadores também observaram que os dispositivos que executam macOS são apenas parcialmente afetados pelo ataque Thunderspy.
A Microsoft já confirmou que não pretende adicionar conectividade Thunderbolt aos dispositivos da linha Surface por “questões de segurança” – e as falhas descobertas por Björn Ruytenberg parecem indicar que a empresa de Redmond estava mesmo correta na sua decisão.
Como se pode resolver esta falha?
Segundo Ruytenberg, para prevenir totalmente o ataque Thunderspy é necessário desativar as portas Thunderbolt na BIOS do computador. Além disso, os utilizadores também devem desligar os PCs, caso precisem de se afastar deles e ativar a criptografia do disco rígido.
Os investigadores desenvolveram uma ferramenta de código aberto para Linux e Windows que os utilizadores podem utilizar para ver se os seus PCs, com ligações Thunderbolt, são vulneráveis ao ataque. Ela está disponível para download em thunderspy.io.