Голландский исследователь Бьёрн Руйтенберг (Björn Ruytenberg) из Технологического университета Эйндховена обнаружил опасную уязвимость в интерфейсе Thunderbolt. Она позволяет злоумышленникам с физическим доступом взломать целевой ПК за считанные минуты, независимо от используемой операционной системы. Ученый назвал атаку Thunderspy.
Атака эксплуатирует «дыру» в протоколах безопасности Thunderbolt. Исследователь нашел способ изменить настройки прошивки управляющей микросхемы Thunderbolt таким образом, чтобы любое устройство могло получить доступ к ПК, без необходимости аутентификации в ОС. В некоторых случаях процедура требует вскрытия корпуса ПК, однако требует мало времени и не оставляет следов.
В прошлом году Intel добавила дополнительные средства защиты Thunderbolt в виде механизмов Kernel Direct Memory Access Protection (KDMAP). Однако до сих пор многие производители не внедрили KDMAP даже в устройствах 2020 года. Впрочем, KDMAP обеспечивает только частичную защиту от Thunderspy.
По мнению Руйтенберга, единственным 100%-м способом защиты от атаки Thunderspy на данный момент является физическое отключение порта в UEFI. Что самое неприятное, уязвимость может повлиять на будущие стандарты на основе Thunderbolt, включая USB4 и Thunderbolt 4.