Thunderbolt est l'interface matérielle de la marque développée par Intel . Il agit comme une interface entre l'ordinateur et les périphériques externes. Alors que la plupart des ordinateurs Windows sont équipés de toutes sortes de ports, de nombreuses entreprises utilisent Thunderbolt pour se connecter à différents types d'appareils. Cela facilite la connexion, mais selon des recherches menées à l' Université de technologie d' ^(Technology)Eindhoven^{(Eindhoven University)} , la sécurité derrière Thunderbolt peut être violée à l'aide d'une technique — Thunderspy . Dans cet article, nous partagerons des conseils que vous pouvez suivre pour protéger votre ordinateur contre Thunderspy .

Qu'est-ce que Tunderspy ? Comment ça marche?

Il s'agit d'une attaque furtive qui permet à un attaquant d'accéder à la fonctionnalité d'accès direct à la mémoire ( DMA ) pour compromettre les appareils. Le plus gros problème est qu'il ne reste aucune trace car cela fonctionne sans déployer aucun esprit de malware ou d'appât de lien. Il peut contourner les meilleures pratiques de sécurité et verrouiller l'ordinateur. Alors, comment ça marche? L'attaquant a besoin d'un accès direct à l'ordinateur. Selon les recherches, cela prend moins de 5 minutes avec les bons outils.

Conseils pour se protéger contre Thunderspy

L'attaquant copie le micrologiciel du contrôleur Thunderbolt^{(Thunderbolt Controller Firmware)} de l'appareil source sur son appareil. Il utilise ensuite un correctif de micrologiciel ( TCFP ) pour désactiver le mode de sécurité appliqué dans le micrologiciel Thunderbolt . La version modifiée est copiée sur l'ordinateur cible à l'aide du périphérique Bus Pirate . Ensuite, un dispositif d'attaque basé sur Thunderbolt est connecté au dispositif attaqué. Il utilise ensuite l' outil PCILeech pour charger un module de noyau qui contourne l' écran de connexion Windows .

Ainsi, même si l'ordinateur dispose de fonctionnalités de sécurité telles que le démarrage sécurisé , le ^{(Secure Boot)}BIOS fort et les mots de passe du compte du système d'exploitation, et que le chiffrement intégral du disque est activé, il contournera toujours tout.

ASTUCE^(TIP) : Spycheck vérifiera si votre PC est vulnérable à l'attaque Thunderspy .

Conseils pour se protéger contre Thunderspy

Microsoft recommande^(recommends) trois façons de se protéger contre la menace moderne. Certaines de ces fonctionnalités intégrées à Windows peuvent être exploitées tandis que d'autres doivent être activées pour atténuer les attaques.

Protections PC sécurisées
Protection DMA du noyau
Intégrité du code protégé par l'hyperviseur ( HVCI )

Cela dit, tout cela est possible sur un PC Secured-core. Vous ne pouvez tout simplement pas appliquer cela sur un PC ordinaire car le matériel n'est pas disponible pour le protéger de l'attaque. La meilleure façon de savoir si votre PC le prend en charge est de vérifier la section Devic Security de l' application Windows Security .

1] Protections PC sécurisées

Garde du système Windows Defender

Windows Security , le logiciel de sécurité interne de Microsoft, offre Windows Defender System Guard et une sécurité basée sur la virtualisation. Cependant, vous avez besoin d'un appareil qui utilise des PC à cœur sécurisé^{(Secured-core PCs)} . Il utilise la sécurité matérielle enracinée dans le processeur^(CPU) moderne pour lancer le système dans un état de confiance. Il aide à atténuer les tentatives faites par les logiciels malveillants au niveau du micrologiciel.

2] Protection DMA du noyau

Introduite dans Windows 10 v1803, la protection Kernel DMA s'assure de bloquer les périphériques externes contre les attaques d' accès direct à la mémoire^{(Memory Access)} ( DMA ) à l'aide de ^(DMA)périphériques PCI^(PCI) hotplug tels que Thunderbolt . Cela signifie que si quelqu'un essaie de copier un micrologiciel Thunderbolt malveillant sur une machine, il sera bloqué via le port Thunderbolt . Cependant, si l'utilisateur dispose du nom d'utilisateur et du mot de passe, il pourra les contourner.

3] Renforcement^(Hardening) de la protection avec l'intégrité du code protégé par l'hyperviseur ( ^{(Hypervisor-protected)}HVCI )

Désactiver l'isolation du cœur de l'intégrité de la mémoire Sécurité Windows

L' intégrité du code protégé par l'hyperviseur ou HVCI doit être activé sur Windows 10 . Il isole le sous-système d'intégrité du code et vérifie que le code du noyau^(Kernel) n'est pas vérifié et signé par Microsoft . Il garantit également que le code du noyau ne peut pas être à la fois inscriptible et exécutable pour s'assurer que le code non vérifié ne s'exécute pas.

Thunderspy utilise l' outil PCILeech pour charger un module de noyau qui contourne l' écran de connexion Windows . L'utilisation de HVCI^(HVCI) s'assurera d'empêcher cela car il ne lui permettra pas d'exécuter le code.

La sécurité doit toujours être au premier plan lorsqu'il s'agit d'acheter des ordinateurs. Si vous traitez des données importantes, en particulier avec les entreprises, il est recommandé d'acheter des appareils PC à cœur sécurisé^{(Secured-core PC)} . Voici la page officielle de ces appareils^{(such devices)} sur le site Web de Microsoft.

Tips to protect your computer against Thunderspy attack

Thunderbolt is the hardware brand interface developed by Intel. It acts as an interface between computer and external devices. While most of the Windows computers come with all sorts of ports, many companies use Thunderbolt to connect to various types of devices. It makes connecting easy, but according to research at the Eindhoven University of Technology, the security behind Thunderbolt can be breached using a technique — Thunderspy. In this post, we will share tips you can follow to protect your computer against Thunderspy.

What is Tunderspy? How does it work?

Its a stealth attack that allows an attacker to access direct memory access (DMA) functionality to compromise devices. The biggest problem is that there is no trace left as it works without deploying any mind of malware or link bait. It can bypass the best security practices and lock the computer. So how does it work? The attacker needs direct access to the computer. According to the research, it takes less than5 minutes with the right tools.

Tips to protect against Thunderspy

The attacker copies the Thunderbolt Controller Firmware of the source device to his device. It then uses a firmware patcher (TCFP) to disable the security mode enforced in the Thunderbolt firmware. The modified version is copied back to the target computer using the Bus Pirate device. Then a Thunderbolt-based attack device is connected to the device being attacked. It then uses the PCILeech tool to load a kernel module that bypasses the Windows sign-in screen.

So even if the computer has security features like Secure Boot, strong BIOS, and operating system account passwords, and enabled full disk encryption, enabled, it will still bypass everything.

TIP: Spycheck will check if your PC is vulnerable to the Thunderspy attack.

Tips to protect against Thunderspy

Microsoft recommends three ways to protect against the modern threat. Some of these features that are built into Windows can be leveraged while some should be enabled to mitigate the attacks.

Secured-core PC protections
Kernel DMA protection
Hypervisor-protected code integrity (HVCI)

That said, all this is possible on a Secured-core PC. You simply cannot apply this on a regular PC because the hardware is not available that can secure it from the attack. The best way to find out if your PC supports it is by checking the Devic Security section of the Windows Security app.

1] Secured-core PC protections

Windows Defender System Guard

Windows Security, Microsoft’s in-house security software, offers Windows Defender System Guard and virtualization-based security. However, you need a device that uses Secured-core PCs. It uses rooted hardware security in the modern CPU to launch the system into a trusted state. It helps mitigate attempts made by malware at the firmware level.

2] Kernel DMA protection

Introduced in Windows 10 v1803, Kernel DMA protection makes sure to block external peripherals from Direct Memory Access (DMA) attacks using PCI hotplug devices such as Thunderbolt. It means if someone tries to copy malicious Thunderbolt firmware to a machine, it will be blocked over the Thunderbolt port. However, if the user has the username and password, he will be able to bypass it.

3] Hardening protection with Hypervisor-protected code integrity (HVCI)

Turn off Memory Integrity Core Isolation Windows Security

Hypervisor-protected code integrity or HVCI should be enabled on Windows 10. It isolates the code integrity subsystem and verified that there Kernel code is not verified and signed by Microsoft. It also ensures that kernel code cannot be both writable and executable to make sure unverified code does not execute.

Thunderspy uses the PCILeech tool to load a kernel module that bypasses the Windows sign-in screen. Using HVCI will make sure to prevent this as it will not allow it to execute the code.

Security should always be at the top when it comes to buying computers. If you deal with data that is important, especially with business, it is recommended to purchase Secured-core PC devices. Here is the official page of such devices on the Microsoft website.

Margot Masson

About the author

Un téléphone est l'un des outils les plus polyvalents qu'une personne puisse posséder et utiliser. Il est permis aux gens de communiquer avec les autres, d'accéder à Internet et de faire beaucoup d'autres choses. Avec un iPhone ou un appareil Android, vous pouvez même regarder des vidéos et télécharger de la musique. Un téléphone est également idéal pour prendre des photos, surfer sur le Web, écouter de la musique, etc.

Conseils pour protéger votre ordinateur contre l'attaque Thunderspy

Qu'est-ce que Tunderspy ? Comment ça marche?