Segnatevi questo nome: Thunderclap. Anche se poco probabile potrebbe essere lo strumento che potrebbe far passare un attacco informatico dalla porta Thunderbolt. La serie di vulnerabilità sfruttate da Thundeclap sono state stata sono state individuate da alcuni ricercatori dell’Università di Cambridge, dell’Università Rice e di SRI International; si tratta di falle, collettivamente denominate Thunderclap, appunto, che potrebbero consentire di attaccare un computer usando dispositivi ad hoc collegati a questo tipo di porta.
I Ricercatori spiegano in un PDF le peculiarità di Thunderbolt consentono teoricamente di attaccare un computer target usando periferiche che sfruttano meccanismi di DMA (Direct Memory Access). Poiché la porta Thunderbolt sui computer di ultima generazione si presenta con il connettore USB-C e offre accesso diretto di basso livello alla memoria (DMA) con privilegi molto elevati rispetto a quanto possibile con le tradizionali periferiche USB, si tratta di una via di accesso molto privilegiata e potenzialmente molto pericolosa.
“Se nessun meccanismo di difesa è presente sull’host, un attacker può ottenere accesso senza restrizioni alla memoria e può prendere il controllo di un computer target: rubando password, credenziali, chiavi di cifratura, sessioni del browser e file privati”, si legge nel documento; “possono anche iniettare software malevolo eseguibile in qualsiasi punto del sistema”.
Il meccanismo di difesa che consente al sistema operativo di proteggersi da questi attacchi è l’input-output memory management unit (IOMMU), unità che permette ai dispositivi di accedere esclusivamente a quelle zone di memoria necessarie per portare a termine determinati compiti. L’attivazione dell’IOMMU ha un rovescio della medaglia in termini di performance e su molti sistemi operativi per default questa unità è disabilitata.
I ricercatori hanno scoperto che Windows 7 e Windows 8, così come Windows 10 Home e Pro non supportano affatto IOMMU. Windows 10 Enterprise può sfruttare IOMMU ma solo in modo limitato e con una modalità tale da rendere i sistemi comunque vulnerabili.
I ricercatori hanno collaborato con vari vendor sin dal 2016 per contribuire a mitigare i potenziali problemi e Microsoft ha integrato la Kernel DMA Protection per Thunderbolt 3 a partire dalla versione 1803 di Windows 10. Questa protezione attiva l’IOMMU per le periferiche Thunderbolt ma non per i dispositivi PCIe. È necessario il supporto del firmware e in pratica i vecchi notebook presentati prima dell’arrivo della release 1803 di Windows 10, potrebbero rimanere vulnerabili senza specifici update dei vendor.
macOS sfrutta IOMMU di serie ma anche con questa protezione attiva, i ricercatori riferiscono di essere riusciti ad usare una finta scheda di rete per leggere traffico dati che avrebbe dovuto rimanere confinato in determinate aree. Dalla scheda di rete in questione è stato possibile eseguire in modo arbitrario programmi con privilegi di amministratore di sistema e leggere il display del Mac e quanto digitato dalla tastiera USB. Apple ha risolto la vulnerabilità da macOS 10.12.4 ma secondo i ricercatori la potenziale portata generale dell’attacco rimane estesa.
I sistemi operativi open source FreeBSD e Linux supportano IOMMU ma qusta unità non è attiva per default in varie distribuzioni ed è possibile eseguire codice arbitrario con privilegi elevati, leggere traffico dati e sfruttare finte di schede di rete. Su Linux le finte schede di rete possono accedere alla struttura del kernel e bypassare completamente le impostazioni IOMMU. Intel ha predisposto patch per il kernel Linux 5.0 attivando l’IOMMU per le periferiche Thunderbolt e disabilitando funzionalità che consentuvao di bypassare le difese hardware. Il consiglio è quello di non permettere a chiunque di inserire dispositivi USB-C sconosciuti alla porta Thunderbolt e non fidarsi delle stazioni di ricarica USB-C offerte in alcune strutture.
