Thunderbolt là giao diện thương hiệu phần cứng do Intel phát triển . Nó hoạt động như một giao diện giữa máy tính và các thiết bị bên ngoài. Trong khi hầu hết các máy tính Windows đều có đủ loại cổng, nhiều công ty sử dụng Thunderbolt để kết nối với nhiều loại thiết bị khác nhau. Nó giúp kết nối dễ dàng, nhưng theo nghiên cứu tại Đại học Công nghệ ^(Technology)Eindhoven^{(Eindhoven University)} , bảo mật đằng sau Thunderbolt có thể bị vi phạm bằng một kỹ thuật - Thunderspy . Trong bài đăng này, chúng tôi sẽ chia sẻ các mẹo mà bạn có thể làm theo để bảo vệ máy tính của mình khỏi Thunderspy .

Tunderspy là gì? Làm thế nào nó hoạt động?

Đây là một cuộc tấn công lén lút cho phép kẻ tấn công truy cập chức năng truy cập bộ nhớ trực tiếp ( DMA ) để xâm phạm thiết bị. Vấn đề lớn nhất là không có dấu vết nào để lại khi nó hoạt động mà không triển khai bất kỳ phần mềm độc hại hoặc mồi liên kết nào. Nó có thể bỏ qua các phương pháp bảo mật tốt nhất và khóa máy tính. Vì vậy, làm thế nào nó hoạt động? Kẻ tấn công cần truy cập trực tiếp vào máy tính. Theo nghiên cứu, chỉ mất chưa đầy 5 phút với các công cụ phù hợp.

Kẻ tấn công sao chép Phần mềm điều khiển Thunderbolt^{(Thunderbolt Controller Firmware)} của thiết bị nguồn vào thiết bị của hắn. Sau đó, nó sử dụng một trình vá lỗi phần sụn ( TCFP ) để vô hiệu hóa chế độ bảo mật được thực thi trong phần sụn Thunderbolt . Phiên bản đã sửa đổi được sao chép trở lại máy tính mục tiêu bằng thiết bị Bus Pirate . Sau đó, một thiết bị tấn công dựa trên Thunderbolt được kết nối với thiết bị bị tấn công. Sau đó, nó sử dụng công cụ PCILosystem^(PCILeech) để tải một mô-đun hạt nhân bỏ qua màn hình đăng nhập Windows .

Vì vậy, ngay cả khi máy tính có các tính năng bảo mật như Khởi động an toàn , ^{(Secure Boot)}BIOS mạnh và mật khẩu tài khoản hệ điều hành cũng như kích hoạt mã hóa toàn bộ ổ đĩa, nó vẫn sẽ bỏ qua mọi thứ.

MẸO^(TIP) : Spycheck sẽ kiểm tra xem PC của bạn có dễ bị tấn công bởi Thunderspy hay không .

Mẹo để bảo vệ khỏi Thunderspy

Microsoft khuyến nghị^(recommends) ba cách để bảo vệ khỏi mối đe dọa hiện đại. Một số tính năng được tích hợp trong Windows có thể được tận dụng trong khi một số tính năng nên được kích hoạt để giảm thiểu các cuộc tấn công.

• Bảo vệ PC lõi an toàn
• Bảo vệ DMA hạt nhân
• Tính toàn vẹn của mã được bảo vệ bởi Hypervisor ( HVCI )

Điều đó nói rằng, tất cả điều này đều có thể thực hiện được trên PC lõi bảo mật. Bạn chỉ đơn giản là không thể áp dụng điều này trên PC thông thường vì phần cứng không có sẵn có thể bảo vệ nó khỏi cuộc tấn công. Cách tốt nhất để tìm hiểu xem PC của bạn có hỗ trợ nó hay không là kiểm tra phần Devic Security của ứng dụng Windows Security .

1] Bảo vệ PC lõi an toàn

Windows Security , phần mềm bảo mật nội bộ của Microsoft, cung cấp tính năng Bảo vệ Hệ thống của Bộ bảo vệ Windows và bảo mật dựa trên ảo hóa. Tuy nhiên, bạn cần một thiết bị sử dụng PC lõi bảo mật^{(Secured-core PCs)} . Nó sử dụng bảo mật phần cứng đã được root trong CPU hiện đại để khởi động hệ thống vào trạng thái đáng tin cậy. Nó giúp giảm thiểu các nỗ lực do phần mềm độc hại thực hiện ở cấp phần sụn.

2] Bảo vệ DMA hạt nhân

Được giới thiệu trong Windows 10 v1803, tính năng bảo vệ Kernel DMA đảm bảo chặn các thiết bị ngoại vi bên ngoài khỏi các cuộc tấn công Truy cập Bộ nhớ^{(Memory Access)} Trực tiếp ( DMA ) bằng cách sử dụng thiết bị cắm nóng PCI như Thunderbolt . Nó có nghĩa là nếu ai đó cố gắng sao chép phần sụn Thunderbolt độc hại vào một máy tính, nó sẽ bị chặn qua cổng Thunderbolt . Tuy nhiên, nếu người dùng có tên người dùng và mật khẩu, anh ta sẽ có thể vượt qua nó.

3] Bảo vệ tăng cứng^(Hardening) với tính toàn vẹn của mã được bảo vệ bởi Hypervisor ( ^{(Hypervisor-protected)}HVCI )

Tính toàn vẹn của mã được bảo vệ bởi Hypervisor hoặc HVCI nên được bật trên Windows 10 . Nó cô lập hệ thống con toàn vẹn mã và xác minh rằng ở đó mã Kernel không được Microsoft xác minh và ký . Nó cũng đảm bảo rằng mã nhân không thể vừa có thể ghi vừa có thể thực thi để đảm bảo rằng mã chưa được xác minh sẽ không thực thi.

Thunderspy sử dụng công cụ PCILosystem^(PCILeech) để tải một mô-đun hạt nhân bỏ qua màn hình đăng nhập Windows . Sử dụng HVCI sẽ đảm bảo ngăn chặn điều này vì nó sẽ không cho phép nó thực thi mã.

Bảo mật luôn phải được đặt lên hàng đầu khi mua máy tính. Nếu bạn xử lý dữ liệu quan trọng, đặc biệt là với doanh nghiệp, bạn nên mua các thiết bị PC lõi bảo mật^{(Secured-core PC)} . Đây là trang chính thức của các thiết bị như vậy^{(such devices)} trên trang web của Microsoft.

Tips to protect your computer against Thunderspy attack

Thunderbolt is the hardware brand interface developed by Intel. It acts as an interface between computer and external devices. While most of the Windows computers come with all sorts of ports, many companies use Thunderbolt to connect to various types of devices. It makes connecting easy, but according to research at the Eindhoven University of Technology, the security behind Thunderbolt can be breached using a technique — Thunderspy. In this post, we will share tips you can follow to protect your computer against Thunderspy.

What is Tunderspy? How does it work?

Its a stealth attack that allows an attacker to access direct memory access (DMA) functionality to compromise devices. The biggest problem is that there is no trace left as it works without deploying any mind of malware or link bait. It can bypass the best security practices and lock the computer.  So how does it work? The attacker needs direct access to the computer. According to the research, it takes less than5 minutes with the right tools.

The attacker copies the Thunderbolt Controller Firmware of the source device to his device. It then uses a firmware patcher (TCFP) to disable the security mode enforced in the Thunderbolt firmware. The modified version is copied back to the target computer using the Bus Pirate device. Then a Thunderbolt-based attack device is connected to the device being attacked. It then uses the PCILeech tool to load a kernel module that bypasses the Windows sign-in screen.

So even if the computer has security features like Secure Boot, strong BIOS, and operating system account passwords, and enabled full disk encryption, enabled, it will still bypass everything.

TIP: Spycheck will check if your PC is vulnerable to the Thunderspy attack.

Tips to protect against Thunderspy

Microsoft recommends three ways to protect against the modern threat. Some of these features that are built into Windows can be leveraged while some should be enabled to mitigate the attacks.

• Secured-core PC protections
• Kernel DMA protection
• Hypervisor-protected code integrity (HVCI)

That said, all this is possible on a Secured-core PC. You simply cannot apply this on a regular PC because the hardware is not available that can secure it from the attack. The best way to find out if your PC supports it is by checking the Devic Security section of the Windows Security app.

1] Secured-core PC protections

Windows Security, Microsoft’s in-house security software, offers Windows Defender System Guard and virtualization-based security. However, you need a device that uses Secured-core PCs. It uses rooted hardware security in the modern CPU to launch the system into a trusted state. It helps mitigate attempts made by malware at the firmware level.

2] Kernel DMA protection

Introduced in Windows 10 v1803, Kernel DMA protection makes sure to block external peripherals from Direct Memory Access (DMA) attacks using PCI hotplug devices such as Thunderbolt. It means if someone tries to copy malicious Thunderbolt firmware to a machine, it will be blocked over the Thunderbolt port. However, if the user has the username and password,  he will be able to bypass it.

3] Hardening protection with Hypervisor-protected code integrity (HVCI)

Hypervisor-protected code integrity or HVCI should be enabled on Windows 10. It isolates the code integrity subsystem and verified that there Kernel code is not verified and signed by Microsoft. It also ensures that kernel code cannot be both writable and executable to make sure unverified code does not execute.

Thunderspy uses the PCILeech tool to load a kernel module that bypasses the Windows sign-in screen. Using HVCI will make sure to prevent this as it will not allow it to execute the code.

Security should always be at the top when it comes to buying computers. If you deal with data that is important, especially with business, it is recommended to purchase Secured-core PC devices. Here is the official page of such devices on the Microsoft website.

Related posts

• Làm thế nào để Tránh Phishing Scams and Attacks?

• Access Trojan từ xa là gì? Phòng ngừa, Detection & Removal

• Remove virus Từ USB Flash Drive bằng Command Prompt or Batch File

• Rogue Security Software or Scareware: Làm thế nào để kiểm tra, ngăn chặn, loại bỏ?

• Win32: BogEnt là gì và làm thế nào để loại bỏ nó?

• Làm thế nào để gỡ bỏ cài đặt hoặc gỡ bỏ Driver Tonic từ Windows 10

• Kiểm tra xem máy tính của bạn đã bị nhiễm ASUS Update Malware chưa

• Microsoft xác định các ứng dụng không mong muốn của Malware & Potentially như thế nào

• Cách sử dụng Malware Scanner & Cleanup Tool Malware Scanner & Cleanup Tool của Chrome browser

• CandyOpen là gì? Làm thế nào để loại bỏ CandyOpen từ Windows 10?

• Cryptojacking browser mining threat mới bạn cần biết về

• Làm thế nào để Hủy bỏ Chromium Virus từ Windows 11/10

• IObit Malware Fighter Free review & download

• Backdoor attack là gì? Meaning, Examples, Definitions

• Làm thế nào để kiểm tra xem một tập tin là độc hại hay không trên Windows 11/10

• 3 cách để thoát khỏi vi rút, phần mềm gián điệp và phần mềm độc hại

• Online Malware Scanners trực tuyến tốt nhất để quét một tập tin

• Malware Removal Tools miễn phí để loại bỏ Specific Virus trong Windows 11/10

• Malware Submission: Nơi gửi tệp phần mềm độc hại đến Microsoft & others?

• Cách sử dụng Avast Boot Scan để loại bỏ Malware khỏi Windows PC