Porte Thunderbolt: rilevati importanti difetti di sicurezza che colpiscono i Mac spediti tra il 2011-2020

Sono stati scoperti sette gravi difetti di sicurezza di Thunderbolt, che colpiscono sia le macchine con porte Thunderbolt autonome sia le porte USB-C compatibili con Thunderbolt utilizzate sui moderni Mac.

I difetti consentono a un utente malintenzionato di accedere ai dati sia quando la macchina è bloccata sia quando l’unità è crittografata.

Le vulnerabilità sono presenti in tutte le macchine con porte USB-C compatibili con Thunderbolt e porte Thunderbolt fornite tra il 2011 e il 2020.

Il ricercatore di sicurezza Björn Ruytenberg ha rilevato sette vulnerabilità nei chip Thunderbolt di Intel e nove modi per sfruttarle.

1. Schemi di verifica del firmware inadeguati
2. Schema di autenticazione del dispositivo debole
3. Utilizzo di metadati del dispositivo non autenticati
4. Attacco downgrade con retrocompatibilità
5. Utilizzo di configurazioni del controller non autenticate
6. Carenza dell’interfaccia flash SPI
7. Nessuna sicurezza Thunderbolt su Boot Camp

Non è possibile rilevare se una macchina è stata compromessa.

Thunderspy è invisibile, il che significa che non è possibile trovare alcuna traccia dell’attacco. Non richiede il tuo coinvolgimento, ovvero non esiste alcun collegamento di phishing o hardware dannoso che l’hacker ti induca a utilizzare. Thunderspy funziona anche se segui le migliori pratiche di sicurezza bloccando o sospendendo il tuo computer e se l’amministratore di sistema ha impostato il dispositivo con Secure Boot, BIOS sicuro e password dell’account del sistema operativo e abilitato la crittografia del disco completo. Tutto ciò di cui l’aggressore ha bisogno è solo di rimanere 5 minuti solo con il computer, un cacciavite e dell’hardware facilmente trasportabile.

Queste vulnerabilità portano diversi scenari pratici di utilizzo: capacità di creare identità di dispositivi Thunderbolt arbitrarie, clonare dispositivi Thunderbolt autorizzati, ottenere la connettività PCIe per eseguire attacchi DMA e altro.

I Mac sono completamente vulnerabili a tutti i difetti di sicurezza di Thunderbolt quando si esegue Bootcamp e “parzialmente influenzati” quando si esegue macOS.

MacOS utilizza una whitelist curata da Apple al posto dei livelli di sicurezza e la virtualizzazione IOMMU quando è disponibile il supporto hardware e driver. Le vulnerabilità consentono di ignorare la prima misura di protezione e di compromettere completamente l’autenticità dei metadati del dispositivo Thunderbolt in “Informazioni di sistema” di MacOS. Tuttavia, la seconda misura di protezione rimane funzionante e quindi impedisce qualsiasi ulteriore impatto sulla sicurezza del sistema delle vittime tramite DMA. Il sistema diventa vulnerabile ad attacchi simili a BadUSB. Pertanto, MacOS è parzialmente interessato.

Ruytenberg ha informato Intel e Apple delle sue scoperte, ma afferma che non è possibile correggere le vulnerabilità tramite un aggiornamento software.