Hackers podem usar porta Thunderbolt para invadir computadores e roubar dados

Um pesquisador de segurança da Universidade de Tecnologia de Eindhoven, nos Países Baixos, revelou nesta semana um ataque que utiliza a porta Thunderbolt de um computador para ultrapassar qualquer tipo de login e criptografia, dando a um hacker acesso aos dados e à operação do dispositivo em si. De acordo com o especialista Björn Ruytenberg, qualquer máquina fabricada antes de 2019 está vulnerável à tentativa, que tem como principal alvo os executivos, jornalistas, personalidades e demais pessoas de interesse.

Batizada de Thunderspy, a exploração não deixa vestígios e pode ser praticada em poucos minutos, bastando que o atacante consiga passar algum tempo sozinho com o computador em questão. É um processo que, de acordo com Ruytenberg, envolveria a desmontagem do PC e a reprogramação do firmware, algo que, em mãos habilidosas, não levaria mais do que cinco minutos. Dependendo do alvo e do motivo da intrusão, mais do que vale a pena.

A falha será demonstrada pelo especialista em detalhes na próxima edição da conferência BlackHat, que deve acontecer em agosto, e, segundo ele, só pode ser solucionada com a desativação completa da porta Thunderbolt. O problema, de acordo com Ruytenberg, é a forma como a tecnologia garante mais velocidade e confiabilidade na transferência de dados, acessando diretamente a memória RAM da máquina. Essa característica, inclusive, já foi motivo de outras brechas semelhantes descobertas no passado. A diferença é que, desta vez, comenta o especialista, não há patch fácil via software para resolver a questão.

• Ataques hackers contra empresas cresceram 148% em março
• Hackers da Coreia do Norte agora têm o macOS como alvo
• Malware sofisticado que espiona dispositivos Android é descoberto na Play Store

A nova exploração seria capaz até mesmo de ultrapassar a mais recente medida de segurança aplicada à tecnologia, que passou a usar níveis de segurança de acordo com o estado do computador e a necessidade de proteção do usuário, impedindo a conexão de dispositivos não-autorizados, por exemplo. A alteração no firmware da brecha, entretanto, desabilita o recurso e permite acesso indiscriminado, desde que o atacante tenha contato direto com a máquina pelo tempo necessário para abri-la e rodar a exploração, que leva cerca de dois minutos para agir a partir de um chip conectado diretamente à controladora da entrada Thunderbolt.

Na sequência, um segundo dispositivo, também customizado, é ligado à porta em si e completa o ataque, ultrapassando telas de login e até mesmo criptografias de disco rígido. Ruytenberg disse ter gasto cerca de US$ 400 em equipamentos disponíveis facilmente no mercado para operar a exploração e argumenta que o tamanho, bem como a necessidade de dois dispositivos, poderiam ser facilmente reduzidos para apenas um se “agências de segurança bem financiadas” assim quiserem.

Uma segunda versão do ataque, também a ser demonstrada na BlackHat, é ainda menos invasiva, mas também requer o uso de um dispositivo que já tenha sido marcado como confiável pelo sistema. Neste caso, segundo o pesquisador, bastaria copiar tais códigos para um novo aparelho, a partir de um segundo computador, e não seria preciso desmontar a máquina-alvo para realizar a operação.

Ruytenberg enxerga a utilização da brecha em ataques direcionados, com um método comumente chamado de “evil maid”, em referência a computadores que ficam em quartos de hotel e passam o dia desatendidos, à disposição de “camareiras malvadas”. O mesmo também valeria, por exemplo, para as próprias empresas, durante reuniões, cafés ou qualquer outro lugar em que uma máquina possa ser utilizada por atacantes durante um período de tempo.

O especialista aponta, ainda, que a única solução plena para esse tipo de ataque é o redesenho do chip Thunderbolt em si, já que qualquer tipo de alteração de software pode ser desabilitada. Foi o que aconteceu a partir de 2019, por exemplo, com a maioria dos fabricantes de PC alterando o funcionamento das portas e impedindo que a exploração recente funcione. Ainda assim, há uma grande quantidade de máquinas vulneráveis por aí, o que vai exigir atenção da parte dos responsáveis.

As respostas das fabricantes variam, como mostrou reportagem da Wired. A Intel, responsável pela tecnologia, indicou as novas medidas de segurança como a solução do problema e afirmou que boa parte de suas parcerias já a aplicaram ao longo dos últimos dois anos. A HP reafirmou isso, e disse ter implementado ainda mais proteções, enquanto a Dell indicou que seus clientes evitem a conexão de dispositivos inseguros à porta Thunderbolt. A Lenovo disse estar avaliando a questão, enquanto a Samsung não respondeu sobre o assunto.

Atualização 12/05/2020, 11h24: Em novo comunicado sobre o assunto, a Intel afirmou que o ataque demonstrado por Ruytenberg não pode ser aplicado em sistemas que tenham a proteção Kernel DMA habilitada, um recurso que está presentes nos dispositivos mais recentes. Além disso, a empresa pediu aos usuários que sigam as melhores práticas de segurança, o que inclui evitar o acesso físico não-autorizado, por terceiros, a seus computadores.

Fonte: Wired