Тхундерболт^{(Thunderbolt)} је интерфејс бренда хардвера који је развио Интел^(Intel) . Делује као интерфејс између рачунара и спољних уређаја. Док већина Виндовс^(Windows) рачунара долази са свим врстама портова, многе компаније користе Тхундерболт^{(Thunderbolt)} за повезивање са различитим врстама уређаја. То чини повезивање лаким, али према истраживању на Технолошком ^(Technology)универзитету^{(Eindhoven University)} у Ајндховену , безбедност иза Тхундерболт^{(Thunderbolt)} - а може бити пробијена употребом технике — Тхундерспи^(Thunderspy) . У овом посту ћемо поделити савете које можете пратити како бисте заштитили свој рачунар од Тхундерспи-^(Thunderspy) а .

Шта је Тундерспи^(Tunderspy) ? Како то функционише?

То је прикривени напад који омогућава нападачу да приступи функцији директног приступа меморији ( ДМА^(DMA) ) како би компромитовао уређаје. Највећи проблем је што нема трага док ради без постављања злонамерног софтвера или мамаца за линкове. Може заобићи најбоље безбедносне праксе и закључати рачунар. Па како то функционише? Нападачу је потребан директан приступ рачунару. Према истраживању, потребно је мање од 5 минута са правим алатима.

Нападач копира фирмвер Тхундерболт контролера^{(Thunderbolt Controller Firmware)} изворног уређаја на свој уређај. Затим користи закрпу фирмвера ( ТЦФП^(TCFP) ) да би онемогућио безбедносни режим примењен у Тхундерболт^{(Thunderbolt)} фирмверу. Модификована верзија се копира назад на циљни рачунар помоћу Бус Пирате^{(Bus Pirate)} уређаја. Затим је уређај за напад заснован на Тхундерболт^{(Thunderbolt)} -у повезан са уређајем који се напада. Затим користи ПЦИЛеецх^(PCILeech) алат за учитавање модула кернела који заобилази екран за пријаву на Виндовс^(Windows) .

Дакле, чак и ако рачунар има безбедносне функције као што су Сецуре Боот^{(Secure Boot)} , јаке лозинке БИОС-^(BIOS) а и налога оперативног система и омогућено потпуно шифровање диска, и даље ће заобићи све.

САВЕТ^(TIP) : Спицхецк ће проверити да ли је ваш рачунар рањив на Тхундерспи напад .

Савети за заштиту од Тхундерспи-а

Мицрософт препоручује^(recommends) три начина заштите од модерне претње. Неке од ових функција које су уграђене у Виндовс могу се искористити, док неке треба омогућити да ублаже нападе.

• Заштита рачунара са заштићеним језгром
• ДМА заштита кернела
• Интегритет кода заштићен хипервизором ( ХВЦИ^(HVCI) )

Ипак, све ово је могуће на рачунару са заштићеним језгром. Ово једноставно не можете применити на обичном рачунару јер хардвер није доступан који би га могао заштитити од напада. Најбољи начин да сазнате да ли ваш рачунар то подржава је да проверите одељак Девиц Сецурити у апликацији ^{(Devic Security)}Виндовс Сецурити^{(Windows Security)} .

1] Заштита рачунара са заштићеним језгром

Виндовс безбедност^{(Windows Security)} , Мицрософт-ов интерни безбедносни софтвер, нуди заштиту система Виндовс Дефендер и безбедност засновану на виртуелизацији. Међутим, потребан вам је уређај који користи рачунаре са заштићеним језгром^{(Secured-core PCs)} . Користи укорењену хардверску безбедност у модерном ЦПУ-^(CPU) у да покрене систем у поуздано стање. Помаже у ублажавању покушаја малвера на нивоу фирмвера.

2] ДМА заштита кернела

Уведена у Виндовс 10^{(Windows 10)} в1803, Кернел ДМА^{(Kernel DMA)} заштита осигурава да блокира спољне периферне уређаје од напада директног приступа меморији^{(Memory Access)} ( ДМА ) помоћу ^(DMA)ПЦИ^(PCI) хотплуг уређаја као што је Тхундерболт^{(Thunderbolt)} . То значи да ако неко покуша да копира злонамерни Тхундерболт^{(Thunderbolt)} фирмвер на машину, он ће бити блокиран преко Тхундерболт^{(Thunderbolt)} порта. Међутим, ако корисник има корисничко име и лозинку, моћи ће да их заобиђе.

3] Заштита од очвршћавања са интегритетом кода ^(Hardening)заштићеног^{(Hypervisor-protected)} хипервизором ( ХВЦИ^(HVCI) )

Интегритет кода заштићен хипервизором или ХВЦИ^(HVCI) треба да буде омогућен у оперативном систему Виндовс 10^{(Windows 10)} . Изолује подсистем интегритета кода и потврђује да Мицрософт ^(Microsoft)Кернел^(Kernel) код није верификован и потписан . Такође осигурава да код кернела не може бити уписив и извршан како би се осигурало да се непроверени код неће извршити.

Тхундерспи^(Thunderspy) користи алатку ПЦИЛеецх^(PCILeech) за учитавање модула кернела који заобилази екран за пријаву на Виндовс^(Windows) . Коришћење ХВЦИ-^(HVCI) а ће се побринути да се ово спречи јер му неће дозволити да изврши код.

Сигурност увек треба да буде на врху када је у питању куповина рачунара. Ако се бавите подацима који су важни, посебно пословним, препоручује се куповина ПЦ уређаја са заштићеним језгром . ^{(Secured-core PC)}Ево званичне странице таквих уређаја^{(such devices)} на веб локацији Мицрософт.

Tips to protect your computer against Thunderspy attack

Thunderbolt is the hardware brand interface developed by Intel. It acts as an interface between computer and external devices. While most of the Windows computers come with all sorts of ports, many companies use Thunderbolt to connect to various types of devices. It makes connecting easy, but according to research at the Eindhoven University of Technology, the security behind Thunderbolt can be breached using a technique — Thunderspy. In this post, we will share tips you can follow to protect your computer against Thunderspy.

What is Tunderspy? How does it work?

Its a stealth attack that allows an attacker to access direct memory access (DMA) functionality to compromise devices. The biggest problem is that there is no trace left as it works without deploying any mind of malware or link bait. It can bypass the best security practices and lock the computer.  So how does it work? The attacker needs direct access to the computer. According to the research, it takes less than5 minutes with the right tools.

The attacker copies the Thunderbolt Controller Firmware of the source device to his device. It then uses a firmware patcher (TCFP) to disable the security mode enforced in the Thunderbolt firmware. The modified version is copied back to the target computer using the Bus Pirate device. Then a Thunderbolt-based attack device is connected to the device being attacked. It then uses the PCILeech tool to load a kernel module that bypasses the Windows sign-in screen.

So even if the computer has security features like Secure Boot, strong BIOS, and operating system account passwords, and enabled full disk encryption, enabled, it will still bypass everything.

TIP: Spycheck will check if your PC is vulnerable to the Thunderspy attack.

Tips to protect against Thunderspy

Microsoft recommends three ways to protect against the modern threat. Some of these features that are built into Windows can be leveraged while some should be enabled to mitigate the attacks.

• Secured-core PC protections
• Kernel DMA protection
• Hypervisor-protected code integrity (HVCI)

That said, all this is possible on a Secured-core PC. You simply cannot apply this on a regular PC because the hardware is not available that can secure it from the attack. The best way to find out if your PC supports it is by checking the Devic Security section of the Windows Security app.

1] Secured-core PC protections

Windows Security, Microsoft’s in-house security software, offers Windows Defender System Guard and virtualization-based security. However, you need a device that uses Secured-core PCs. It uses rooted hardware security in the modern CPU to launch the system into a trusted state. It helps mitigate attempts made by malware at the firmware level.

2] Kernel DMA protection

Introduced in Windows 10 v1803, Kernel DMA protection makes sure to block external peripherals from Direct Memory Access (DMA) attacks using PCI hotplug devices such as Thunderbolt. It means if someone tries to copy malicious Thunderbolt firmware to a machine, it will be blocked over the Thunderbolt port. However, if the user has the username and password,  he will be able to bypass it.

3] Hardening protection with Hypervisor-protected code integrity (HVCI)

Hypervisor-protected code integrity or HVCI should be enabled on Windows 10. It isolates the code integrity subsystem and verified that there Kernel code is not verified and signed by Microsoft. It also ensures that kernel code cannot be both writable and executable to make sure unverified code does not execute.

Thunderspy uses the PCILeech tool to load a kernel module that bypasses the Windows sign-in screen. Using HVCI will make sure to prevent this as it will not allow it to execute the code.

Security should always be at the top when it comes to buying computers. If you deal with data that is important, especially with business, it is recommended to purchase Secured-core PC devices. Here is the official page of such devices on the Microsoft website.

Related posts

• Како избећи пхисхинг преваре и нападе?

• Шта је тројанац за даљински приступ? Превенција, откривање и уклањање

• Уклоните вирус са УСБ флеш диска помоћу командне линије или батцх датотеке

• Рогуе Сецурити Софтваре или Сцареваре: Како проверити, спречити, уклонити?

• Шта је Вин32:БогЕнт и како га уклонити?

• Шта је сајбер криминал? Како се носити с тим?

• Како проверити да ли је датотека злонамерна или не у оперативном систему Виндовс 11/10

• Како проверити да ли у регистру има малвера у оперативном систему Виндовс 11/10

• Цриптојацкинг нове претње рударења претраживача о којима морате да знате

• Најбољи скенери вируса и злонамерног софтвера ГАРАНТОВАНО ће уништити сваки вирус

• Најбољи бесплатни софтвер за уклањање шпијунског и малвера

• Како деинсталирати или уклонити Дривер Тониц из Виндовс 10

• Како користити Малваребитес Анти-Малваре за уклањање злонамерног софтвера

• Процес Мицрософт Виндовс логотипа у Таск Манагер-у; Да ли је вирус?

• Шта је ФилеРепМалваре? Треба ли га уклонити?

• Како уклонити Цхромиум вирус из Виндовс 11/10

• Исправите грешку неуспеле претраге када се покреће Цхроме скенер малвера

• Отмица прегледача и бесплатни алати за уклањање отмичара прегледача

• Слање злонамерног софтвера: Где да пошаљете датотеке малвера Мицрософт-у и другима?

• Шта су напади Ливинг Офф Тхе Ланд? Како остати безбедан?