Phát hiện lỗ hổng Thunderbolt cho phép tin tặc đánh cắp dữ liệu hệ thống trong 5 phút

12/29/2020 7:38:00 PM

Một kỹ thuật tấn công tương đối đơn giản vào lỗ hổng Thunderspy giúp tin tặc có thể tiếp cận được máy tính và đánh cắp dữ liệu của người dùng một cách dễ dàng chỉ trong 5 phút, với một tua vít và phần cứng di động.


20201308-at-ta16.jpg

Thunderbolt là một thành tựu lớn khi nói đến công nghệ kết nối có dây trên thiết bị điện tử. Đây là một chuẩn kết nối tốc độ cao, được phát triển bởi Intel với tên mã là Light Peak và xuất hiện lần đầu tiên trên MacBook Pro 2011. Điểm mạnh của Thunderbolt nằm ở khả năng vừa có thể sạc điện, vừa có thể kết nối và truyền dữ liệu giữa máy tính và các thiết bị ngoại vi khác, tất cả chỉ bằng một sợi cáp. Đặc biệt là khả năng truyền tải dữ liệu cực nhanh, lên tới 10Gbps - gấp khoảng 2 lần so với USB 3.0 và gấp 20 lần so với USB 2.0. Tuy nhiên, Thunderbolt cũng ẩn chứa lỗ hổng nghiêm trọng.

Mới đây, nhà nghiên cứu bảo mật quốc tế Bjorn Ruytenberg đã bất ngờ phát hiện ra một lỗ hổng có tên gọi Thunderspy tồn tại trong các cổng Thunderbolt, cho phép tin tặc dễ dàng đánh cắp dữ liệu đang lưu trữ trên hệ thống nếu có quyền truy cập vật lý vào thiết bị, ngay cả khi người dùng khoá máy tính và dữ liệu đã được mã hoá. Nghiêm trọng hơn, toàn bộ quá trình khai thác lỗ hổng này chỉ mất tối đa 5 phút, với một tua vít và một phần cứng di động khác.
 
Nguyên nhân của lỗ hổng tồn tại ở cách Thunderbolt cho phép các thiết bị kết nối bên ngoài truy cập trực tiếp vào bộ nhớ của máy tính để lấy dữ liệu trong thời gian ngắn. Tuy nhiên, tin tặc hoàn toàn có thể can thiệp trực tiếp vào hệ thống phần cứng điều khiển cổng Thunderbolt để kết nối máy tính với các thiết bị rời không xác định khác nhằm đánh cắp dữ liệu. Nhược điểm duy nhất của hình thức tấn công này là tin tặc buộc phải có quyền tiếp cận vật lý đối với máy tính, nhưng lại có tới 3 ưu điểm lớn khác là không để lại bất cứ dấu vết nào, có thể được tiến hành trong thời gian cực ngắn và chi phí nhỏ.
 
Intel đã lên tiếng xác nhận về sự tồn tại của Thunderspy, đồng thời cho triển khai một hệ thống bảo mật mới có tên Kernel Direct Memory Access để giảm thiểu và ngăn chặn các cuộc tấn công bắt nguồn từ lỗ hổng này. Tuy nhiên ở thời điểm hiện tại, Direct Memory Access mới chỉ được triển khai trên Windows 10 từ phiên bản 1803 RS4 trở lên, nhân Linux từ 5.x trở lên và macOS 10.12.4 trở lên. 
 
Ruytenberg đã khuyến cáo người dùng máy tính có cổng Thunderbolt chỉ kết nối với các thiết bị ngoại vi cá nhân; không cho mượn máy tính và tránh để hệ thống máy tính không có giám sát trong khi bật nguồn, ngay cả khi màn hình bị khóa. Đồng thời, tránh để các thiết bị ngoại vi Thunderbolt không được giám sát; đảm bảo an ninh phù hợp khi lưu trữ hệ thống dữ liệu và mọi thiết bị Thunderbolt, bao gồm màn hình hỗ trợ Thunderbolt. Ngoài ra, người dùng cần xem xét sử dụng "chế độ ngủ đông" (hibernation) tạm dừng truy cập vào ổ đĩa hoặc tắt nguồn hoàn toàn hệ thống. Cụ thể, tránh sử dụng "chế độ ngủ" (sleep) tạm dừng truy cập vào RAM.

M.H