This post is also available in: Português
Hackers que tiverem acesso presencial a determinados computadores podem invadi-los usando as portas Thunderbolt.
A Microsoft e a Intel confirmaram uma vulnerabilidade de segurança relacionada às portas Thunderbolt em computadores com o Windows 10. Elas podem permitir que um invasor com acesso físico ao PC modifique o firmware do controlador da porta, desativando sua segurança. Praticamente todos os PCs que usem essa versão do sistema operacional e tenham portas Thunderbolt são vulneráveis, exceto aqueles que foram fornecidos com a proteção Kernel DMA ativada.
Essa nova ameaça à segurança foi apelidada de “Thunderspy” por Björn Ruytenberg, pesquisador da Universidade de Tecnologia de Eindhoven, na Holanda, que a descobriu. Ele alerta que tudo o que um invasor precisa é de cinco minutos sozinho com o computador, mesmo que o equipamento esteja bloqueado, configurado com uma Inicialização Segura, senhas fortes e com a criptografia de disco habilitada.
Esses ataques físicos a computadores são complexos, de alto risco e felizmente raros. Entretanto, existem. Essa classe de invasão, que precisa de muita proximidade, é apelidada de ataque da “empregada doméstica do mal”, fazendo referência ao caso hipotético de um usuário que esteja hospedado em um hotel e longe do seu quarto, ou quando a equipe de limpeza noturna vier ao seu escritório.
Só resolve se comprar outro?
Como a vulnerabilidade está no hardware, não pode ser corrigida. Segundo a empresa, alguém com acesso físico ao dispositivo pode entrar e filtrar dados ou instalar softwares maliciosos. Assim, o conselho da Microsoft é “simples”: comprar um novo computador.
A questão é que centenas desses computadores vulneráveis pertencem ao grupo dos Secure-Core PCs – modelos com altíssimo grau de segurança, desenvolvidos pela Microsoft com alguns dos seus parceiros, como Intel, AMD e Qualcomm. Os Secure-core PCs primeiro inicializam o hardware e depois reinicializam o sistema usando um código conhecido e verificável.
Computadores do tipo existem desde o final do ano passado e vêm com todos os alarmes de segurança habilitados em hardware e firmware, mitigando o Thunderspy e quaisquer ataques similares que dependam de DMA malicioso. A Intel disse que um ataque do Thunderspy não funciona em sistemas com proteção Kernel DMA. Porém, nem todos os modelos possuem tal recurso, o que explica a possibilidade dessas invasões específicas.
Mesmo que um invasor consiga copiar o firmware malicioso do Thunderbolt em um dispositivo, a proteção KMA DMA em um PC com núcleo protegido impedirá qualquer acesso pela porta Thunderbolt, a menos que o invasor obtenha a senha do usuário.
Esses computadores com núcleo protegido são voltados principalmente a usuários corporativos, em especial aqueles com uma elevada consciência de segurança. Entram na lista empresários, políticos e qualquer pessoa com dados confidenciais que viaja e deixa seu PC fora de vista por algumas horas durante o dia.
Mal “menor”
Na visão dos hackers, ameaças como o Thunderspy são nichos que revelam novos horizontes. É um problema em grande escala, mas que na prática coloca em risco uma porcentagem muito pequena de usuários. Ainda assim, é uma falha de segurança, e deixa os computadores com uma vulnerabilidade que agora é pública. A tendência é que os próximos compradores já procurem especificamente por equipamentos com a proteção Kernel DMA ativada – e aqueles que não puderem passarão mais tempo junto aos seus computadores.
This post is also available in: Português