{"id":2602,"date":"2020-05-18T08:00:00","date_gmt":"2020-05-18T06:00:00","guid":{"rendered":"https:\/\/xopero.com\/blog\/?p=2602"},"modified":"2023-12-28T10:48:02","modified_gmt":"2023-12-28T09:48:02","slug":"thunderspy-ramsey-astaroth-jak-stracic-100-mln-koron","status":"publish","type":"post","link":"https:\/\/xopero.com\/blog\/pl\/thunderspy-ramsey-astaroth-jak-stracic-100-mln-koron\/","title":{"rendered":"ThunderSpy \/ Ramsey \/ Astaroth \/ Jak straci\u0107 100 mln koron"},"content":{"rendered":"\n

Jak zhackowa\u0107 urz\u0105dzenie wyposa\u017cone w porty Thunderbolt – nawet je\u015bli jest ono zablokowane, a dysk zaszyfrowany? Wygl\u0105da na to, \u017ce atakuj\u0105cy potrzebuje tylko dost\u0119p do urz\u0105dzenia (na bardzo kr\u00f3tko), \u015brubokr\u0119t i dodatkowo przeno\u015bny hardware. Jednak nie dajcie si\u0119 zwie\u015b\u0107, atak ThunderSpy – kt\u00f3rego opracowanie zaj\u0119\u0142o lata – jest naprawd\u0119 elegancki. W tym tygodniu tak\u017ce\u2026 Ramsey, nowe zagro\u017cenie dla sieci izolowanych. Trafi\u0142 na Ciebie ransomware? – zap\u0142acisz dwa razy. Do tego: infostealer Astaroth, norweski Norfund traci 100 mln koron i ransomware atakuje kancelari\u0119 prawn\u0105 ameryka\u0144skich celebryt\u00f3w.<\/p>\n\n\n\n

<\/div>\n\n\n\n\n\n\n\n<\/a>\n\n\n

1. Miliony urz\u0105dze\u0144 z Thunderbolt podatnych na atak \u201eThunderSpy\u201d<\/h2>\n\n\n

Atak ThunderSpy umo\u017cliwia przest\u0119pcom kradzie\u017c danych z urz\u0105dze\u0144 z systemem Windows lub Linux wyposa\u017conych w porty Thunderbolt pod warunkiem, \u017ce uda im si\u0119 zdoby\u0107 fizyczny dost\u0119p do urz\u0105dzenia na 5 minut. Sprawa jest powa\u017cna – wra\u017cliwe s\u0105 miliony urz\u0105dze\u0144 wyposa\u017conych w te z\u0142\u0105cza i wyprodukowane przed 2019 rokiem.<\/p>\n\n\n\n

Thunderbolt to interfejs sprz\u0119towy opracowany przez Intel (we wsp\u00f3\u0142pracy z Apple), kt\u00f3ry pozwala u\u017cytkownikom skonsolidowa\u0107 przesy\u0142anie danych, \u0142adowanie i pod\u0142\u0105czanie urz\u0105dze\u0144 peryferyjnych w jednym z\u0142\u0105czu. Technologia ta zosta\u0142a r\u00f3wnie\u017c powszechnie przyj\u0119ta w komputerach, takich jak Dell, HP i Lenovo.<\/p>\n\n\n\n

Aby uruchomi\u0107 atak nazwany \u201cThunderspy\u201d, potrzebny jest fizyczny dost\u0119p do urz\u0105dzenia, 5 min wolnego czasu, \u015brubokr\u0119t i przeno\u015bny sprz\u0119t. Atakuj\u0105cy mo\u017ce w\u00f3wczas omin\u0105\u0107 ekran logowania zablokowanego lub u\u015bpionego komputera i uzyska\u0107 dost\u0119p do danych nie pozostawiaj\u0105c po sobie \u017cadnych \u015blad\u00f3w. <\/p>\n\n\n

ThunderSpy – 9 scenariuszy ataku<\/h5>\n\n\n

Bj\u00f6rn Ruytenberg, badacz bezpiecze\u0144stwa, opracowa\u0142 dziewi\u0119\u0107 scenariuszy ataku z wykorzystaniem siedmiu wad technologii. Do nich nale\u017c\u0105: nieodpowiednie schematy weryfikacji oprogramowania uk\u0142adowego, schemat s\u0142abego uwierzytelniania urz\u0105dzenia, u\u017cycie nieuwierzytelnionych metadanych urz\u0105dzenia, atak downgrade przy u\u017cyciu kompatybilno\u015bci wstecznej, wykorzystanie nieuwierzytelnionych konfiguracji kontrolera, niedoskona\u0142o\u015bci interfejsu flash SPI oraz brak zabezpiecze\u0144 Thunderbolt w Boot Camp.<\/p>\n\n\n\n

Luki dotycz\u0105 wersji 1, 2 i 3 Thunderbolt i mo\u017cna je wykorzysta\u0107 do tworzenia dowolnych to\u017csamo\u015bci urz\u0105dze\u0144, klonowania autoryzowanych urz\u0105dze\u0144 Thunderbolt, a tak\u017ce uzyskiwania \u0142\u0105czno\u015bci PCIe w celu przeprowadzania atak\u00f3w DMA. Ataki oparte na DMA pozwalaj\u0105 atakuj\u0105cym na w\u0142amanie si\u0119 na komputery w ci\u0105gu kilku sekund poprzez pod\u0142\u0105czenie z\u0142o\u015bliwych urz\u0105dze\u0144 typu hot-plug do portu Thunderbolt lub najnowszego USB-C. No\u015bnikiem ataku mo\u017ce by\u0107 wi\u0119c zewn\u0119trzna karta sieciowa, mysz, klawiatura czy drukarka.<\/p>\n\n\n\n

W poni\u017cszym wideo, Ruytenberg demonstruje jedn\u0105 z mo\u017cliwo\u015bci w\u0142amania z wykorzystaniem ThunderSpy.<\/p>\n\n\n\n

\n