네덜란드 아인트호벤 공과 대학 (University of Eindhoven University of Technology) 의 개발자 Björn Ruytenberg는 thunderspy.io 웹 사이트 에 Thunderspy 에 대한 간단한 설명을 게시했습니다. 컴퓨터에서 약 5 분 안에 데이터를 추적하지 않고 도난 당할 수 있으며, 더 어려운 문제는 소프트웨어 업데이트를 통해 복구 할 수 없다는 것입니다.
여러 보호 기능을 쉽게 돌파
thunderspy.io 웹 사이트에 제공된 정보에 따르면 Thunderspy는 Thunderbolt 인터페이스의 취약성을 사용하여 공격하는 방법으로 Thunderbolt 터미널이있는 컴퓨터의 경우 컴퓨터가 잠기거나 잠자고 하드 드라이브가 암호화 된 경우에도 공격자 컴퓨터와의 물리적 인 접촉이 짧으면 (원격 위치에서 공격 할 수 없음을 의미) 컴퓨터의 모든 데이터를 읽고 복사 할 수 있습니다.
공격자는 프로세스 중에 피해자와 상호 작용하지 않고 Thunderspy 공격을 독립적으로 수행 할 수 있으므로 피해자가 낚시 링크를 클릭하거나 펜 드라이브 또는 기타 악성 하드웨어를 삽입하도록 속일 필요가 없으며 공격 프로세스가 숨겨집니다.
Thunderspy의 문제는 이에 국한되지 않으며, 사용자가 컴퓨터의 보안을 향상시킨 경우 컴퓨터를 떠날 때 잠 그거나 잠자기 상태로 설정하고 보안 부팅, BIOS 보호, 운영 체제 암호, 하드 드라이브 암호화 등을 활성화하십시오. 공격자는 여전히 5 분 안에 방어선을 뚫을 수있는 드라이버와 편리한 하드웨어 만 있으면됩니다.
Thunderspy가 원격 엔드에서 공격을 시작할 수는 없지만 공격자는 실제로 데이터를 도용하기 위해 컴퓨터를 만져야하지만 많은 보호 조치를 우회 할 수 있고 필요한 시간이 매우 짧기 때문에 악의적 인 하녀 (사악한 하녀 공격)에 의해 공격받을 수 있습니다 . 따라서 여전히 위험합니다.
예를 들어, 피해자가 호텔에 거주하는 사업가이고 침입자가 가정 부인 경우, 침입자는 컴퓨터를 청소하는 동안 컴퓨터를 켤 수 있습니다 (비밀번호를 입력하지 않고 로그인 화면에서 중지). 기밀 정보 도용.
취약점은 소프트웨어를 통해 패치하기가 어렵습니다
Björn Ruytenberg는 또한 thunderspy.io에서 Thunderspy 개념 증명 데모 비디오를 발표했으며, 먼저 공격 대상을 부팅하고 암호 입력 화면에서 유지 한 다음 "Bus Pirate"라는 장치를 대상 컴퓨터 Thunderbolt 컨트롤러의 SPI 인터페이스에 연결했습니다. 먼저 컨트롤러 펌웨어를 읽고 다시 쓰고 다시 쓰고 마지막으로 Thunderbolt 인터페이스가있는 공격 장치를 대상 컴퓨터에 연결하면 특수 소프트웨어를 사용하여 암호를 입력하지 않고 대상 컴퓨터의 운영 체제에 로그인 한 다음 시작할 수 있습니다 내부 정보를 훔치십시오.
또한 Björn Ruytenberg는 Thunderbolt 장치 ID (장치 ID) 설정, 대상 컴퓨터의 장치 ID 복사 및 DMA 공격 수행 등 Thunderbolt 또는 USB 전용 DisplayPort 지원 터미널을 비활성화하여 Thunderbolt 전송 기능을 복원하는 등 여러 개념 증명을 제안했습니다. Thunderbolt 보안 기능을 영구적으로 끄고 펌웨어 업데이트를 차단하십시오.
이 취약점은 2011 년부터 2020 년까지 Thunderbolt 1, 2 및 3이 설치된 컴퓨터에 영향을 미칩니다. 2019 년 이후에 시작된 커널 DMA 보호 보호 메커니즘이있는 일부 컴퓨터 만 일부 위험에서 제외 될 수 있으며 USB 4 및 Thunderbolt 4 및 기타 향후 사양 및이 문제는 소프트웨어로 복구 할 수 없으므로 해결하기 위해 하드웨어를 수정해야합니다.
▲ 개념 증명 데모 비디오에서 Mima를 입력하지 않고도 Windows 운영 체제에 로그인하는 공격 방법을 볼 수 있습니다.
Björn Ruytenberg는 Windows 및 Linux 용 오픈 소스 Spycheck 프로그램을 제공하여 사용자가 컴퓨터가 영향을 받는지 판단하고 관련 보안 조언을 제공 할 수 있도록 도와줍니다.
필요한 독자는 thunderspy.io 웹 사이트 에서 다운로드 할 수 있습니다 .
중국어 번역은 번역기를 사용해 어순 앞뒤가 이상할 수 있습니다.
간단 요약 썬더볼트를 사용할 경우 물리적인 접촉이 이루어지는 경우 도난의 위험이 상당히 큼.
P.S. 일반적인 유저의 경우에는 상관 없겠지만 기업의 입장에서 보면 언제 어떻게 PC에 접촉을 해서 5분 안에 손쉽게 도난을 당할 수 있기 때문에 썬더볼트 사용의 해당 이슈가 해결되기 전까지는 꺼려질 것으로 생각되네요.
P.S.추가. 인텔은 해당 문제를 인지하고 업데이트를 물리적으로 진행한 것으로 보입니다. 하지만 이 기술은 DMA보호기법으로 현재 2019년에 판매된 제품에 제한된다고 합니다. 2011년 부터 썬더볼트 관련 제품이 판매되었기 때문에 현재 2020년을 기준으로 많은 제품들이 취약점을 가지고 있는 것으로 생각되네요.
(출처:https://dailysecu.com/news/articleView.html?idxno=108674)