Thunderbolt je sučelje marke hardvera koje je razvio Intel . Djeluje kao sučelje između računala i vanjskih uređaja. Iako većina Windows računala dolazi sa svim vrstama portova, mnoge tvrtke koriste Thunderbolt za povezivanje s različitim vrstama uređaja. To olakšava povezivanje, ali prema istraživanju na Tehnološkom sveučilištu Eindhoven ^{(Eindhoven University)},^(Technology) sigurnost iza Thunderbolta^{(Thunderbolt)} može se probiti pomoću tehnike — Thunderspy . U ovom ćemo postu podijeliti savjete koje možete slijediti kako biste zaštitili svoje računalo od Thunderspyja^(Thunderspy) .

Što je Tunderspy ? Kako radi?

To je prikriveni napad koji napadaču omogućuje pristup funkciji izravnog pristupa memoriji ( DMA ) kako bi kompromitirao uređaje. Najveći problem je što nema traga jer radi bez postavljanja zlonamjernog softvera ili mamaca za poveznice. Može zaobići najbolje sigurnosne prakse i zaključati računalo. Pa kako to funkcionira? Napadaču je potreban izravan pristup računalu. Prema istraživanju, potrebno je manje od 5 minuta s pravim alatima.

Napadač kopira firmver Thunderbolt kontrolera^{(Thunderbolt Controller Firmware)} izvornog uređaja na svoj uređaj. Zatim koristi zakrpu firmvera ( TCFP ) za onemogućavanje sigurnosnog načina rada nametnutog u firmveru Thunderbolt . Modificirana verzija se kopira natrag na ciljno računalo pomoću Bus Pirate uređaja. Zatim se napadni uređaj baziran na Thunderboltu povezuje s uređajem koji se napada. ^{(Thunderbolt)}Zatim koristi alat PCILeech za učitavanje modula kernela koji zaobilazi zaslon za prijavu u Windows .

Dakle, čak i ako računalo ima sigurnosne značajke kao što su Secure Boot , jake lozinke BIOS-a^(BIOS) i računa operativnog sustava te omogućeno potpuno šifriranje diska, i dalje će zaobići sve.

SAVJET^(TIP) : Spycheck će provjeriti je li vaše računalo ranjivo na napad Thunderspy .

Savjeti za zaštitu od Thunderspyja

Microsoft preporučuje^(recommends) tri načina zaštite od suvremene prijetnje. Neke od ovih značajki koje su ugrađene u Windows mogu se iskoristiti, dok bi neke trebale biti omogućene za ublažavanje napada.

• Osigurana jezgra PC zaštite
• DMA zaštita jezgre
• Integritet koda zaštićenog hipervizorom ( HVCI )

Ipak, sve je to moguće na PC-u sa zaštićenom jezgrom. To jednostavno ne možete primijeniti na običnom računalu jer hardver nije dostupan koji bi ga mogao zaštititi od napada. Najbolji način da saznate podržava li ga vaše računalo je da provjerite odjeljak Devic Security u aplikaciji Windows Security .

1] Zaštita računala sa sigurnom jezgrom

Windows Security , Microsoftov interni sigurnosni softver, nudi zaštitu sustava Windows Defender i sigurnost temeljenu na virtualizaciji. Međutim, potreban vam je uređaj koji koristi računala sa zaštićenom jezgrom^{(Secured-core PCs)} . Koristi ukorijenjenu hardversku sigurnost u modernom CPU -u za pokretanje sustava u pouzdano stanje. Pomaže u ublažavanju pokušaja zlonamjernog softvera na razini firmvera.

2] DMA zaštita jezgre

Uvedena u Windows 10 v1803, Kernel DMA zaštita osigurava blokiranje vanjskih perifernih uređaja od napada izravnog pristupa memoriji^{(Memory Access)} ( DMA ) pomoću PCI uređaja s hotplug uređajem kao što je Thunderbolt . To znači da ako netko pokuša kopirati zlonamjerni Thunderbolt firmware na stroj, on će biti blokiran preko Thunderbolt porta. Međutim, ako korisnik ima korisničko ime i lozinku, moći će ih zaobići.

3] Zaštita od stvrdnjavanja s integritetom^(Hardening) koda zaštićenog hipervizorom ( ^{(Hypervisor-protected)}HVCI )

Integritet koda zaštićen hipervizorom ili HVCI trebao bi biti omogućen u sustavu Windows 10^{(Windows 10)} . Izolira podsustav integriteta koda i provjerava da Microsoftov kôd ^(Microsoft)kernela^(Kernel) nije ovjeren i potpisan . Također osigurava da kod kernela ne može biti upisiv i izvršan kako bi se osiguralo da se neprovjereni kod ne izvrši.

Thunderspy koristi alat PCILeech za učitavanje modula kernela koji zaobilazi zaslon za prijavu u Windows . Korištenje HVCI- a to će spriječiti jer mu neće dopustiti izvršavanje koda.

Sigurnost bi uvijek trebala biti na vrhu kada je u pitanju kupnja računala. Ako se bavite podacima koji su važni, posebice poslovnim, preporuča se kupnja PC^{(Secured-core PC)} uređaja sa sigurnim jezgrom. Ovdje je službena stranica takvih uređaja^{(such devices)} na web stranici Microsofta.

Tips to protect your computer against Thunderspy attack

Thunderbolt is the hardware brand interface developed by Intel. It acts as an interface between computer and external devices. While most of the Windows computers come with all sorts of ports, many companies use Thunderbolt to connect to various types of devices. It makes connecting easy, but according to research at the Eindhoven University of Technology, the security behind Thunderbolt can be breached using a technique — Thunderspy. In this post, we will share tips you can follow to protect your computer against Thunderspy.

What is Tunderspy? How does it work?

Its a stealth attack that allows an attacker to access direct memory access (DMA) functionality to compromise devices. The biggest problem is that there is no trace left as it works without deploying any mind of malware or link bait. It can bypass the best security practices and lock the computer.  So how does it work? The attacker needs direct access to the computer. According to the research, it takes less than5 minutes with the right tools.

The attacker copies the Thunderbolt Controller Firmware of the source device to his device. It then uses a firmware patcher (TCFP) to disable the security mode enforced in the Thunderbolt firmware. The modified version is copied back to the target computer using the Bus Pirate device. Then a Thunderbolt-based attack device is connected to the device being attacked. It then uses the PCILeech tool to load a kernel module that bypasses the Windows sign-in screen.

So even if the computer has security features like Secure Boot, strong BIOS, and operating system account passwords, and enabled full disk encryption, enabled, it will still bypass everything.

TIP: Spycheck will check if your PC is vulnerable to the Thunderspy attack.

Tips to protect against Thunderspy

Microsoft recommends three ways to protect against the modern threat. Some of these features that are built into Windows can be leveraged while some should be enabled to mitigate the attacks.

• Secured-core PC protections
• Kernel DMA protection
• Hypervisor-protected code integrity (HVCI)

That said, all this is possible on a Secured-core PC. You simply cannot apply this on a regular PC because the hardware is not available that can secure it from the attack. The best way to find out if your PC supports it is by checking the Devic Security section of the Windows Security app.

1] Secured-core PC protections

Windows Security, Microsoft’s in-house security software, offers Windows Defender System Guard and virtualization-based security. However, you need a device that uses Secured-core PCs. It uses rooted hardware security in the modern CPU to launch the system into a trusted state. It helps mitigate attempts made by malware at the firmware level.

2] Kernel DMA protection

Introduced in Windows 10 v1803, Kernel DMA protection makes sure to block external peripherals from Direct Memory Access (DMA) attacks using PCI hotplug devices such as Thunderbolt. It means if someone tries to copy malicious Thunderbolt firmware to a machine, it will be blocked over the Thunderbolt port. However, if the user has the username and password,  he will be able to bypass it.

3] Hardening protection with Hypervisor-protected code integrity (HVCI)

Hypervisor-protected code integrity or HVCI should be enabled on Windows 10. It isolates the code integrity subsystem and verified that there Kernel code is not verified and signed by Microsoft. It also ensures that kernel code cannot be both writable and executable to make sure unverified code does not execute.

Thunderspy uses the PCILeech tool to load a kernel module that bypasses the Windows sign-in screen. Using HVCI will make sure to prevent this as it will not allow it to execute the code.

Security should always be at the top when it comes to buying computers. If you deal with data that is important, especially with business, it is recommended to purchase Secured-core PC devices. Here is the official page of such devices on the Microsoft website.

Related posts

• Kako izbjeći phishing prijevare i napade?

• Što je trojanac za daljinski pristup? Prevencija, otkrivanje i uklanjanje

• Uklonite virus s USB flash pogona pomoću naredbenog retka ili batch datoteke

• Rogue Security Software ili Scareware: Kako provjeriti, spriječiti, ukloniti?

• Što je Win32:BogEnt i kako ga ukloniti?

• Što je cyber kriminal? Kako se nositi s tim?

• Što je CandyOpen? Kako ukloniti CandyOpen iz Windows 10?

• Besplatni alati za uklanjanje zlonamjernog softvera za uklanjanje određenih virusa u sustavu Windows 11/10

• Napadi zlonamjernog oglašavanja: definicija, primjeri, zaštita, sigurnost

• Što su Living Off The Land napadi? Kako ostati siguran?

• Kako Microsoft identificira zlonamjerni softver i potencijalno neželjene aplikacije

• Potencijalno neželjeni programi ili aplikacije; Izbjegavajte instaliranje PUP/PUA

• Što je IDP.generic virus i kako ga ukloniti?

• Crystal Security je besplatni alat za otkrivanje zlonamjernog softvera u oblaku za PC

• Proces logotipa Microsoft Windows u Upravitelju zadataka; Je li virus?

• Kako ukloniti upozorenje o virusu iz Microsofta na Windows računalu

• Otmica preglednika i besplatni alati za uklanjanje otmičara preglednika

• Kako koristiti Avast Boot Scan za uklanjanje zlonamjernog softvera s računala sa sustavom Windows

• Napadi ranjivosti otmica DLL-a, prevencija i otkrivanje

• Pogreška navedenog modula nije pronađena u sustavu Windows 11/10