Phát hiện lỗ hổng Thunderbolt cho phép hacker đánh cắp dữ liệu hệ thống trong 5 phút

Thunderbolt là một thành tựu lớn khi nói đến công nghệ kết nối có dây trên thiết bị điện tử. Đây là một chuẩn kết nối tốc độ cao, được phát triển bởi Intel với tên mã là Light Peak và xuất hiện lần đầu tiên trên MacBook Pro 2011. Điểm mạnh của Thunderbolt nằm ở khả năng vừa có thể sạc điện, vừa có thể kết nối và truyền dữ liệu giữa máy tính và các thiết bị ngoại vi khác, tất cả chỉ bằng một sợi cáp. Đặc biệt là khả năng truyền tải dữ liệu cực nhanh, lên tới 10Gbps/s - gấp khoảng 2 lần so với USB 3.0 và gấp 20 lần so với USB 2.0. Tuy nhiên Thunderbolt cũng ẩn chứa một lỗ hổng "chết người".

Cổng Thunderbolt
Cổng Thunderbolt

Mới đây, nhà nghiên cứu bảo mật quốc tế Bjorn Ruytenberg đã bất ngờ phát hiện ra một lỗ hổng có tên gọi “Thunderspy” tồn tại trong các cổng Thunderbolt, cho phép tin tặc dễ dàng đánh cắp dữ liệu đang lưu trữ trên hệ thống nếu có quyền truy cập vật lý vào thiết bị, ngay cả khi người dùng có khoá máy tính và dữ liệu đã được mã hoá. Nghiêm trọng hơn, toàn bộ quá trình khai thác lỗ hổng này chỉ mất tối đa 5 phút để tiến hành trong trường hợp hacker có tay nghề cao, và trang thiết bị cần thiết chỉ là tua vít và một "phần cứng di động" khác.

Đây là toàn bộ quy trình khai thác lỗ hổng Thunderspy kéo dài 5 phút của Bjorn Ruytenberg:

Nguyên nhân sâu xa của Thunderspy nằm ở việc Thunderbolt cho phép các thiết bị kết nối bên ngoài truy cập trực tiếp vào bộ nhớ của PC để lấy dữ liệu trong thời gian ngắn. Tuy nhiên, một hacker giỏi hoàn toàn có thể can thiệp trực tiếp vào hệ thống phần cứng điều khiển cổng Thunderbolt để kết nối PC với các thiết bị gắn rời không xác định khác nhằm đánh cắp dữ liệu. Nhược điểm duy nhất của hình thức tấn công này là hacker buộc phải có quyền tiếp cận vật lý đối với PC của bạn, nhưng nó lại sở hữu tới 3 ưu điểm lớn khác, đó là không để lại bất cứ dấu vết nào, có thể được tiến hành trong thời gian cực ngắn, và chi phí rẻ.

Intel đã lên tiếng xác nhận về sự tồn tại của Thunderspy, đồng thời cho triển khai một hệ thống bảo mật mới có tên Kernel Direct Memory Access (DMA) để giảm thiểu và ngăn chặn các cuộc tấn công bắt nguồn từ lỗ hổng này. Tuy nhiên ở thời điểm hiện tại, DMA mới chỉ được triển khai trên Windows 10 từ phiên bản 1803 RS4 trở lên, Kernel Linux từ 5.x trở lên và MacOS 10.12.4 trở lên.

Theo khuyến nghị của Bjorn Ruytenberg, người dùng nên vô hiệu hóa các cổng Thunderbolt trong BIOS để ngăn chặn hoàn toàn lỗ hổng này. Ngoài ra bạn cũng nên để mắt tới PC của mình và triển khai mã hóa ổ cứng.

Thứ Năm, 21/05/2020 23:36
21 👨 684