Web Analytics
Conecta con nosotros

Noticias

Un fallo de seguridad en Thunderbolt compromete millones de máquinas ¡Comprueba si te afecta!

Publicado el
fallo de seguridad en Thunderbolt

Un nuevo fallo de seguridad en Thunderbolt ha sido reportado por el investigador de la Universidad Tecnológica de Eindhoven, Björn Ruytenberg. Y es de los gordos. Afecta a decenas de millones de máquinas que usan la interfaz de Intel con Windows y Linux, y no se puede parchear vía software.

El fallo de seguridad en Thunderbolt afecta a todos los ordenadores personales con esta interfaz fabricadas antes de 2019 y también a las actuales, siempre que no estén protegidas con un mecanismo de seguridad conocido como Kernel Direct Memory Access Protection que ofreció Intel en su momento. Fabricantes como HP y Lenovo han incorporado técnicas para prevenir este tipo de ataques directos de memoria a través del puerto en la mayoría de equipos empresariales y estaciones de trabajo.

El fallo es crítico y no se puede reparar vía software ni en el firmware, solo actuando en el silicio, aunque conviene aclarar que la explotación de esta vulnerabilidad no puede realizarse remotamente y exige acceso físico al equipo en cuestión, lo que limita su peligrosidad. De hecho, la técnica de ataque no es sencilla, requiere abrir el equipo, conectar un dispositivo de hacking y reprogramar el firmware.

Eso sí, «Thunderspy», como han llamado a esta técnica, es tremendamente peligroso, por ejemplo si alguien se hace con tu equipo en un hotel o medio de transporte. El ataque se puede implementar en menos de cinco minutos y no deja ningún rastro en el equipo. Puede omitir la pantalla de inicio de sesión e incluso el cifrado de la unidad de disco para obtener un acceso completo a los datos de la computadora. Afecta a máquinas con Windows y Linux. Los equipos Apple con macOS no están afectados.

Thunderbolt: muy rápido, pero menos seguro

Hace tiempo que los investigadores desconfían de la seguridad del Thunderbolt de Intel y puede ser un problema para normas futuras que lo emplearán como USB4 en una integración muy importante para la industria. Hace un año, un equipo de investigadores universitarios crearon una plataforma de matriz de puertas programable de código abierto (FPGA) denominada «Thunderclap«, para demostrar que un atacante podía lograr el control de las computadoras aprovechando un conjunto de vulnerabilidades en el puerto Thunderbolt.

Conocidas desde hace algunos años y parcialmente parcheadas, los investigadores explicaron que «Thunderclap» permite ataques a casi cualquier computadora o servidor con puertos de entrada / salida Thunderbolt y conectores PCI-Express usando periféricos maliciosos habilitados para DMA.

Y aquí reside el problema. Thunderbolt es el puerto de interconexión externo para periféricos y equipos más rápido que existe. Y en parte lo logra porque ofrece acceso directo a la memoria de bajo nivel (DMA) con niveles de privilegios mucho más altos que los periféricos USB tradicionales.

¿Cómo comprobar si te afecta el nuevo fallo de seguridad en Thunderbolt?

El investigador ha creado una herramienta de código abierto que permite verificar si un equipo está afectado por esta vulnerabilidad, de la siguiente manera:

En máquinas Windows

  • Ve al sitio web creado por el investigador y descarga «Spycheck para Windows». Extrae el archivo Zip.
  • Haz doble clic en el archivo «Spycheck» para ejecutar la herramienta.
  • Selecciona el idioma y acepta la licencia GPLv3.
  • La herramienta Thunderspy intentará detectar el controlador Thunderbolt en su sistema. Durante el proceso, la herramienta puede pedirte que instales controladores personalizados adicionales o que accedas al modo de ahorro de energía.
  • Después de la inspección, Thunderspy presentará un resumen detallado del análisis para obtener un informe más detallado.

Un fallo de seguridad en Thunderbolt compromete millones de máquinas ¡Comprueba si te afecta! 29

En máquinas Linux

  • Ve al sitio web y descarga «Spycheck para Linux».
  • Abre la terminal y ejecuta el comando (con privilegios de root) “$ sudo python3 spycheck.py”.
  • Spycheck te mostrará un informe detallado. Puedes exportar el informe a JSON mediante el comando «-o FILE.json».

Recordemos que no hay una solución al 100% para este fallo de seguridad en Thunderbolt, tipo de ataque «Thunderspy», como tampoco lo hubo completamente para «Thunderclap», si bien las tecnologías de seguridad que utilicen el Kernel DMA Protection propuesto por Intel (como el Sure Start Gen5 de HP) pueden mitigar los ataques.

Los investigadores sugieren a los usuarios preocupados por esta amenaza que deshabiliten Thunderbolt en las BIOS/UEFI y de este modo el puerto seguirá funcionando como un puerto USB. Otra opción -más equilibrada- es no dejar desatendidas las computadoras portátiles y tener el máximo cuidado con los accesorios o periféricos que pinchamos en el puerto, porque desarrollos como Thunderclap o cualquier otro similar, necesitan acceso físico al equipo.

10 comentarios
  • Vietar

    Por eso no me gusta este protocolo, ya que hace uso de PCIe y como decís tiene acceso directo a la memoria, y por eso valoro mucho los ordenadores que permiten desactivar desde la UEFI Thunderbolt o que directamente no lo integran.

    De todas formas esto en principio no afectará a USB4 porque USB4 coge el sistema de transmisión de datos de Thunderbolt aumentando la velocidad de transmisión de datos y energía, es decir, coge lo mejor de Thunderbolt mientras sigue su propio camino, mientras que USB no se base en PCIe, dentro de lo que cabe (porque el USB tampoco es 100% seguro) estaremos a salvo.

  • fail0

    Tengo una duda porque los equipos mac no estan afectados, que los diferencia si usan el mismo protocolo

  • MaximoGeek

    Sisisisi claro y los macs no sufren de este fallo cuando el fallo en cuestión no es de SO ni de firmware de paso hay que abrir el PC, es un fallo inmenso claro pero al parecer es más rápido y cómodo insertar un flahdrive al aparato en cuestión y ya, bueno gracias por la info.

  • Vietar

    O bien están afectados también, o puede ser que la implementación de Thunderbolt en los Mac sea distinta, pero me inclino por lo primero, porque además recuerdo haber leído hace un tiempo que los Mac también tenían un problema de seguridad por culpa de Thunderbolt.

  • Virtualbox Vbox

    Es que, como dices, tener una puerta tan bonita ahí al PCIe (y con ello directamente a la CPU y a a la memoria) pues tiene ventajas, es verdad, pero desde el punto de vista de la seguridad no promete.

  • Virtualbox Vbox

    De todas formas, está complicado que se pongan a desarmar el PC y demás… si lo dejas tan abandonado como para eso, es mucho más fácil que te lo roben a que te exploten esta vulnerabilidad.

    Me preocupan más las vulnerabilidades que no requieren más que un script en una web, o una descarga maliciosa… Y como estés esperando que el antivirus venga a salvarte de todas vas apañado.

  • Vietar

    La única ventaja que le vi a Thunderbolt fue la posibilidad de añadirle a un PC pequeño o un portátil con este puerto una GPU externa, pero mas allá de eso, ni lo use ni desde luego me parece un protocolo de conexión seguro. Y al final el USB va a heredar sus funciones y no va a dar tantos quebraderos de cabeza, así que…

  • Virtualbox Vbox

    Más allá de una GPU externa no creo que se necesite tanta velocidad y tanto ancho del bus para mucho más.

  • fail0

    Gracias, me parece extraño porque es un protocolo/norma que es igual para todo periferico

  • Leonmafioso

    No me afecta porque a duras penas mi pc cuenta con puertos usb 3.0 y mis otras pcs tienen usb 2.0

Lo más leído