来自荷兰埃因霍温理工大学的开发者Björn Ruytenberg在thunderspy .io网站公开了Thunderspy的概略说明,这种针对Thunderbolt接口进行的攻击手法可以绕过计算机锁定或硬盘加密保护,攻击者只需接触到计算机约5分钟左右的时间,就能不着痕迹地窃取资料,更麻烦的是甚至无法通过软件更新修补。
根据thunderspy.io网站所提供的信息,Thunderspy是种利用Thunderbolt接口漏洞进行攻击的手法,对于有搭载Thunderbolt端子的计算机来说,即便计算机处于锁定或睡眠状态,而且硬盘已加密的情况,攻击者只要短暂物理接触计算机(意味无法从远程攻击),就可以读取和复制计算机中的所有资料。
攻击者可以独立进行Thunderspy攻击,过程中不需与受害者交互,所以不需诱骗受害者点击钓鱼连接或是插入U盘等恶意硬件,且攻击过程是隐匿的,受害者难以找到任何攻击痕迹。
Thunderspy的麻烦之处还不只这样,如果用户已经提高计算机的安全防护,在离开计算机时将其锁定或睡眠,并激活Secure Boot、BIOS保护、操作系统密码、硬盘全机加密等防护措施,攻击者还是仅需螺丝起子和一些携带方便的硬件,就能在5分钟的时间攻破防线。
虽然说Thunderspy无法从远程发动攻击,攻击者需要实际接触到计算机才能窃取资料,但因为可以绕过许多防护措施,而且需要的时间很短,可能会受到邪恶女佣攻击(Evil Maid Attack),所以仍具有相当高的危险性。
举例来说,如果受害者为住在旅馆的商务人士,而攻击者为打扫的房务人员,那么攻击者只要趁打扫的时候将计算机开机(停在登录画面不输入密码),就可能将计算机中的机密资料窃走。
Thunderspy是最新披露通过Thunderbolt接口进行攻击的安全漏洞。
Björn Ruytenberg也在thunderspy.io提出了Thunderspy的概念验证展示视频,他先让攻击目标开机并停留在输入密码的画面,然后将称为“Bus Pirate”的设备连接至目标计算机Thunderbolt控制器的SPI接口,先读取控制器固件,并将其改写后写回,最后将Thunderbolt接口的攻击设备连接至目标计算机,就可以搭配特殊软件在不输入密码的情况下登录目标计算机的操作系统,进而开始窃取内部资料。
此外Björn Ruytenberg也提出了多个概念验证,包括创建任意Thunderbolt设备身份(Device Identity)、复制目标计算机的设备身份并执行DMA攻击、将禁用Thunderbolt或仅限USB、DisplayPort功能的端子恢复Thunderbolt传输能力、永久关闭Thunderbolt安全性功能、阻档更新固件等等。
这个漏洞会影响于2011年至2020年推出搭载Thunderbolt 1、2、3的计算机,仅有部分于2019年后推出且搭载Kernel DMA Protection保护机制的计算机可以免除部分风险,甚至会影响到USB 4与Thunderbolt 4等未来规范,而且这个问题无法以软件方式修补,需要修正硬件才能解决。
从概念验证展示视频中,可以看到不需输入密玛就能登录Windows操作系统的攻击手法。
读者可以通过Spycheck程序检查自己的计算机是否受到影响。
Björn Ruytenberg提供了开源的Windows、Linux版Spycheck程序,协助用户判断计算机是否受到影响,并提出相关安全建议,有需要的读者可甚至thunderspy.io网站下载。