Mẹo bảo vệ máy tính của bạn trước sự tấn công của Thunderspy

Thunderbolt là giao diện thương hiệu phần cứng do Intel phát triển . Nó hoạt động như một giao diện giữa máy tính và các thiết bị bên ngoài. Trong khi hầu hết các máy tính Windows đều có đủ loại cổng, nhiều công ty sử dụng Thunderbolt để kết nối với nhiều loại thiết bị khác nhau. Nó giúp kết nối dễ dàng, nhưng theo nghiên cứu tại Đại học Công nghệ (Technology)Eindhoven(Eindhoven University) , bảo mật đằng sau Thunderbolt có thể bị vi phạm bằng một kỹ thuật - Thunderspy . Trong bài đăng này, chúng tôi sẽ chia sẻ các mẹo mà bạn có thể làm theo để bảo vệ máy tính của mình khỏi Thunderspy .

Tunderspy là gì? Làm thế nào nó hoạt động?

Đây là một cuộc tấn công lén lút cho phép kẻ tấn công truy cập chức năng truy cập bộ nhớ trực tiếp ( DMA ) để xâm phạm thiết bị. Vấn đề lớn nhất là không có dấu vết nào để lại khi nó hoạt động mà không triển khai bất kỳ phần mềm độc hại hoặc mồi liên kết nào. Nó có thể bỏ qua các phương pháp bảo mật tốt nhất và khóa máy tính. Vì vậy, làm thế nào nó hoạt động? Kẻ tấn công cần truy cập trực tiếp vào máy tính. Theo nghiên cứu, chỉ mất chưa đầy 5 phút với các công cụ phù hợp.

Mẹo để bảo vệ khỏi Thunderspy

Kẻ tấn công sao chép Phần mềm điều khiển Thunderbolt(Thunderbolt Controller Firmware) của thiết bị nguồn vào thiết bị của hắn. Sau đó, nó sử dụng một trình vá lỗi phần sụn ( TCFP ) để vô hiệu hóa chế độ bảo mật được thực thi trong phần sụn Thunderbolt . Phiên bản đã sửa đổi được sao chép trở lại máy tính mục tiêu bằng thiết bị Bus Pirate . Sau đó, một thiết bị tấn công dựa trên Thunderbolt được kết nối với thiết bị bị tấn công. Sau đó, nó sử dụng công cụ PCILosystem(PCILeech) để tải một mô-đun hạt nhân bỏ qua màn hình đăng nhập Windows .

Vì vậy, ngay cả khi máy tính có các tính năng bảo mật như Khởi động an toàn , (Secure Boot)BIOS mạnh và mật khẩu tài khoản hệ điều hành cũng như kích hoạt mã hóa toàn bộ ổ đĩa, nó vẫn sẽ bỏ qua mọi thứ.

MẸO(TIP) : Spycheck sẽ kiểm tra xem PC của bạn có dễ bị tấn công bởi Thunderspy hay không .

Mẹo để bảo vệ khỏi Thunderspy

Microsoft khuyến nghị(recommends) ba cách để bảo vệ khỏi mối đe dọa hiện đại. Một số tính năng được tích hợp trong Windows có thể được tận dụng trong khi một số tính năng nên được kích hoạt để giảm thiểu các cuộc tấn công.

  • Bảo vệ PC lõi an toàn
  • Bảo vệ DMA hạt nhân
  • Tính toàn vẹn của mã được bảo vệ bởi Hypervisor ( HVCI )

Điều đó nói rằng, tất cả điều này đều có thể thực hiện được trên PC lõi bảo mật. Bạn chỉ đơn giản là không thể áp dụng điều này trên PC thông thường vì phần cứng không có sẵn có thể bảo vệ nó khỏi cuộc tấn công. Cách tốt nhất để tìm hiểu xem PC của bạn có hỗ trợ nó hay không là kiểm tra phần Devic Security của ứng dụng Windows Security .

1] Bảo vệ PC lõi an toàn

Bảo vệ hệ thống Windows Defender

Windows Security , phần mềm bảo mật nội bộ của Microsoft, cung cấp tính năng Bảo vệ Hệ thống của Bộ bảo vệ Windows và bảo mật dựa trên ảo hóa. Tuy nhiên, bạn cần một thiết bị sử dụng PC lõi bảo mật(Secured-core PCs) . Nó sử dụng bảo mật phần cứng đã được root trong CPU hiện đại để khởi động hệ thống vào trạng thái đáng tin cậy. Nó giúp giảm thiểu các nỗ lực do phần mềm độc hại thực hiện ở cấp phần sụn.

2] Bảo vệ DMA hạt nhân

Được giới thiệu trong Windows 10 v1803, tính năng bảo vệ Kernel DMA đảm bảo chặn các thiết bị ngoại vi bên ngoài khỏi các cuộc tấn công Truy cập Bộ nhớ(Memory Access) Trực tiếp ( DMA ) bằng cách sử dụng thiết bị cắm nóng PCI như Thunderbolt . Nó có nghĩa là nếu ai đó cố gắng sao chép phần sụn Thunderbolt độc hại vào một máy tính, nó sẽ bị chặn qua cổng Thunderbolt . Tuy nhiên, nếu người dùng có tên người dùng và mật khẩu, anh ta sẽ có thể vượt qua nó.

3] Bảo vệ tăng cứng(Hardening) với tính toàn vẹn của mã được bảo vệ bởi Hypervisor ( (Hypervisor-protected)HVCI )

Tắt Bộ nhớ Toàn vẹn lõi Cách ly Bảo mật Windows

Tính toàn vẹn của mã được bảo vệ bởi Hypervisor hoặc HVCI nên được bật trên Windows 10 . Nó cô lập hệ thống con toàn vẹn mã và xác minh rằng ở đó mã Kernel không được Microsoft xác minh và ký . Nó cũng đảm bảo rằng mã nhân không thể vừa có thể ghi vừa có thể thực thi để đảm bảo rằng mã chưa được xác minh sẽ không thực thi.

Thunderspy sử dụng công cụ PCILosystem(PCILeech) để tải một mô-đun hạt nhân bỏ qua màn hình đăng nhập Windows . Sử dụng HVCI sẽ đảm bảo ngăn chặn điều này vì nó sẽ không cho phép nó thực thi mã.

Bảo mật luôn phải được đặt lên hàng đầu khi mua máy tính. Nếu bạn xử lý dữ liệu quan trọng, đặc biệt là với doanh nghiệp, bạn nên mua các thiết bị PC lõi bảo mật(Secured-core PC) . Đây là trang chính thức của các thiết bị như vậy(such devices) trên trang web của Microsoft.



About the author

Tôi là một chuyên gia máy tính và tôi chuyên về thiết bị iOS. Tôi đã giúp đỡ mọi người từ năm 2009 và trải nghiệm của tôi với các sản phẩm của Apple khiến tôi trở thành người hoàn hảo để trợ giúp về nhu cầu công nghệ của họ. Các kỹ năng của tôi bao gồm: - Sửa chữa và nâng cấp iPhone và iPod - Cài đặt và sử dụng phần mềm Apple - Giúp mọi người tìm thấy các ứng dụng tốt nhất cho iPhone và iPod của họ - Làm việc trên các dự án trực tuyến



Related posts