Descubren una serie de vulnerabilidades en Thunderbolt, la interfaz de Intel que utiliza USB Tipo C como conector en su versión más reciente, que ponen en riesgo a millones de ordenadores.
La conectividad Thunderbolt está presente en la mayoría de ordenadores, es por eso que este ataque denominado ‘Thunderspy’ es potencialmente tan peligroso. En un periodo de tiempo muy reducido y con un equipo de periféricos valorados en menos de 400 dólares, un atacante con acceso físico al PC podría hackear el dispositivo en menos de cinco minutos.
«Todo lo que el atacante necesita hacer es desenroscar la placa posterior, conectar un dispositivo momentáneamente, reprogramar el firmware, volver a colocar la placa posterior y el atacante ya tiene acceso completo al portátil», explica el investigador Björn Ruytenberg de la Universidad de Eindhoven.
Todos los ordenadores equipados con Thunderbolt y sistemas Windows o Linux vendidos entre 2011 y 2020 pueden ser vulnerables. Sin embargo, desde 2019 algunos fabricantes ofrecen la protección Kernel DMA, que los protege parcialmente.
El ataque se basa en 7 vulnerabilidades encontradas en el diseño de Intel. Thunderspy ataca el puerto Thunderbolt y al permitir entrar en el dispositivo, no deja rastro del acceso ya que hace creer al ordenador que está siendo su dueño el que accede, según describe el investigador.
Entre las vulnerabilidades que aprovecha Thunderspy se encuentran las siguientes:
- Verificación de firmware inadecuada
- Debilidad en la autenticación del dispositivo
- Uso de metadatos no autenticados
- Ataque de degradación utilizando compatibilidad con versiones anteriores
- Uso de configuraciones de controlador no autenticadas
- Deficiencias de la interfaz flash SPI
- Sin seguridad de Thunderbolt en Boot Camp
¿Cómo saber si soy vulnerable?
Para descubrir si nuestro ordenador puede estar en peligro, los investigadores han creado un software open source llamado Spycheck para ver si el dispositivo es susceptible a las vulnerabilidades. La herramienta está disponible en Windows y Linux, no así para los usuarios de macOS.
Para hacerlo funcionar deberemos extraer el ZIP, aceptar el programa, seleccionar el idioma y la licencia y ejecutar el programa. El análisis puede solicitar en algunos casos conectar un periférico externo a través de uno de los puertos Thunderbolt, habitualmente marcados con un símbolo del rayo. Los puertos USB tipo C exclusivos que no poseen el símbolo de Thunderbolt no se ven afectados.
Recomendación, no dejar desatendido nuestro ordenador. Para los ordenadores anteriores a 2019, no hay por el momento un parche. ¿Cuál es la solución que recomiendan los investigadores? Principalmente llevar cuidado con nuestro ordenador y evitar que caiga en manos de extraños, pues este peligroso ataque requiere de acceso físico al dispositivo. «Evita dejar el PC desatendido mientras esté encendido, incluso aunque esté bloqueado«, recomienda el investigador. En caso de no apagarlo, es preferible hibernar el PC (suspensión del disco) antes que suspenderlo (suspensión de la RAM).
Mayor información:
- https://www.xataka.com/seguridad/fallo-seguridad-thunderbolt-afecta-a-millones-pcs-anteriores-a-2019-permite-acceder-a-datos-protegidos-5-minutos
- https://www.adslzone.net/noticias/seguridad/thunderspy-thunderbolt-3-hackear/
- https://www.xataka.com/basics/thunderbolt-3-que-como-diferenciarlo