Un fallo de seguridad en Thunderbolt compromete millones de máquinas ¡Comprueba si te afecta!

Un nuevo fallo de seguridad en Thunderbolt ha sido reportado por el investigador de la Universidad Tecnológica de Eindhoven, Björn Ruytenberg. Y es de los gordos. Afecta a decenas de millones de máquinas que usan la interfaz de Intel con Windows y Linux, y no se puede parchear vía software.

El fallo de seguridad en Thunderbolt afecta a todos los ordenadores personales con esta interfaz fabricadas antes de 2019 y también a las actuales, siempre que no estén protegidas con un mecanismo de seguridad conocido como Kernel Direct Memory Access Protection que ofreció Intel en su momento. Fabricantes como HP y Lenovo han incorporado técnicas para prevenir este tipo de ataques directos de memoria a través del puerto en la mayoría de equipos empresariales y estaciones de trabajo.

El fallo es crítico y no se puede reparar vía software ni en el firmware, solo actuando en el silicio, aunque conviene aclarar que la explotación de esta vulnerabilidad no puede realizarse remotamente y exige acceso físico al equipo en cuestión, lo que limita su peligrosidad. De hecho, la técnica de ataque no es sencilla, requiere abrir el equipo, conectar un dispositivo de hacking y reprogramar el firmware.

Eso sí, «Thunderspy», como han llamado a esta técnica, es tremendamente peligroso, por ejemplo si alguien se hace con tu equipo en un hotel o medio de transporte. El ataque se puede implementar en menos de cinco minutos y no deja ningún rastro en el equipo. Puede omitir la pantalla de inicio de sesión e incluso el cifrado de la unidad de disco para obtener un acceso completo a los datos de la computadora. Afecta a máquinas con Windows y Linux. Los equipos Apple con macOS no están afectados.

Thunderbolt: muy rápido, pero menos seguro

Hace tiempo que los investigadores desconfían de la seguridad del Thunderbolt de Intel y puede ser un problema para normas futuras que lo emplearán como USB4 en una integración muy importante para la industria. Hace un año, un equipo de investigadores universitarios crearon una plataforma de matriz de puertas programable de código abierto (FPGA) denominada «Thunderclap«, para demostrar que un atacante podía lograr el control de las computadoras aprovechando un conjunto de vulnerabilidades en el puerto Thunderbolt.

Conocidas desde hace algunos años y parcialmente parcheadas, los investigadores explicaron que «Thunderclap» permite ataques a casi cualquier computadora o servidor con puertos de entrada / salida Thunderbolt y conectores PCI-Express usando periféricos maliciosos habilitados para DMA.

Y aquí reside el problema. Thunderbolt es el puerto de interconexión externo para periféricos y equipos más rápido que existe. Y en parte lo logra porque ofrece acceso directo a la memoria de bajo nivel (DMA) con niveles de privilegios mucho más altos que los periféricos USB tradicionales.

¿Cómo comprobar si te afecta el nuevo fallo de seguridad en Thunderbolt?

El investigador ha creado una herramienta de código abierto que permite verificar si un equipo está afectado por esta vulnerabilidad, de la siguiente manera:

En máquinas Windows

• Ve al sitio web creado por el investigador y descarga «Spycheck para Windows». Extrae el archivo Zip.
• Haz doble clic en el archivo «Spycheck» para ejecutar la herramienta.
• Selecciona el idioma y acepta la licencia GPLv3.
• La herramienta Thunderspy intentará detectar el controlador Thunderbolt en su sistema. Durante el proceso, la herramienta puede pedirte que instales controladores personalizados adicionales o que accedas al modo de ahorro de energía.
• Después de la inspección, Thunderspy presentará un resumen detallado del análisis para obtener un informe más detallado.

En máquinas Linux

• Ve al sitio web y descarga «Spycheck para Linux».
• Abre la terminal y ejecuta el comando (con privilegios de root) “$ sudo python3 spycheck.py”.
• Spycheck te mostrará un informe detallado. Puedes exportar el informe a JSON mediante el comando «-o FILE.json».

Recordemos que no hay una solución al 100% para este fallo de seguridad en Thunderbolt, tipo de ataque «Thunderspy», como tampoco lo hubo completamente para «Thunderclap», si bien las tecnologías de seguridad que utilicen el Kernel DMA Protection propuesto por Intel (como el Sure Start Gen5 de HP) pueden mitigar los ataques.

Los investigadores sugieren a los usuarios preocupados por esta amenaza que deshabiliten Thunderbolt en las BIOS/UEFI y de este modo el puerto seguirá funcionando como un puerto USB. Otra opción -más equilibrada- es no dejar desatendidas las computadoras portátiles y tener el máximo cuidado con los accesorios o periféricos que pinchamos en el puerto, porque desarrollos como Thunderclap o cualquier otro similar, necesitan acceso físico al equipo.