Se identificó una vulnerabilidad en el estándar de conexión Thunderbolt que le permitiría a cibercriminales acceder a los contenidos del disco de una computadora portátil en apenas cinco minutos, aún cuando esté bloqueada o protegida por contraseña. Así lo explicó un investigador de la Universidad Tecnológica de Eindhoven.
Esta falla afecta todas las computadoras con sistema operativo Windows o Linux, habilitadas para Thunderbolt, y que hayan sido fabricadas antes de 2019. Las Mac de Apple cuenta con conectividad Thunderbolt desde 2011, pero, según la investigación, solo están “parcialmente afectadas” por Thunderspy si están ejecutando macOS. Según el informe, los sistemas macOS son vulnerables a ataques similares a BadUSB, una falla de seguridad que surgió en 2014 que puede permitir que un dispositivo USB infectado tome el control de la computadora, espíe al usuario y robe datos.
Cabe destacar que para poder explotar esta falla, el atacante debe tener acceso físico al equipo, según se menciona en el artículo en la revista Wired, donde se publicó sobre esta falla. El investigador de la Universidad Tecnológica de Eindhoven, Björn Ruytenberg, describió un nuevo método de ataque que denomina Thunderspy. Para realizar este ataque, se requiere abrir la carcasa de una computadora portátil. Una vez hecho esto se conecta un dispositivo unos minutos, se reprograma el firmware y luego se vuelve a colocar al placa posterior. El usuario no registrará que hubo una intrusión en su equipo y el atacante habrá logrado tener acceso completo a su equipo, en apenas cinco minutos.
El beneficio de Thunderbolt es que ofrece mayor velocidad en la transferencia de datos a dispositivos externos, pero no es la primera vez que se identifican fallas en torno a este sistema. De hecho, existe una colección de fallas en los componentes Thunderbolt se conocen como Thunderclap y que se dieron a conocer el año pasado. Dentro de estas vulnerabilidades se menciona que tan solo enchufar un archivo malicioso a un puerto Thunderbolt de una computadora sería suficiente para eludir medias de seguridad e infectar un equipo.
La recomendación que se compartió para evitar este tipo de ataques es prohibir el acceso a dispositivos no confiables o incluso apagar Thunderbolt por completo en la configuración del sistema operativo. Pero la nueva técnica de ataque que identificó Ruytenberg permite a un atacante eludir incluso esas configuraciones de seguridad, alterando el firmware del chip interno responsable del puerto Thunderbolt y cambiando sus configuraciones de seguridad para permitir el acceso a cualquier dispositivo.
Cabe señalar que tras la investigación de Thunderclap que se dio a conocer el año pasado, Intel creó un mecanismo de seguridad conocido como Kernel Direct Memory Access Protection (DMA), que evita el ataque Thunderspy identificado por Ruytenberg. Pero esa protección (Kernel DMA) no existe en todas las computadoras fabricadas antes de 2019, y todavía no es estándar hoy en día. De hecho, muchos periféricos Thunderbolt fabricados antes de 2019 son incompatibles con ese tipo de protección. De ahí la relevancia de este hallazgo y la importancia de tomar medidas de precacuión.
El problema, según explicó el investigador -que planea dar a conocer su investigación completa en la conferencia de seguridad Black Hat-, es que no hay una solución fácil de implementar a nivel software. En este sentido, Ruytenberg remarca que se necesitará un rediseño del hardware para solucionar del todo este problema.
Mientras tanto y hasta que esa solución llegue, el especialista sugiere deshabilitar el puerto Thunderbolt por completo en el BIOS de la computadora, así como habilitar el cifrado del disco duro y apagar la computadora por completo si se las va a dejar desatendidas.
A su vez, el investigador dijo que desarrolló software llamado Spycheck, al que se puede acceder a través del sitio Thunderspy, que permitiría saber si la maquina es susceptible a este tipo de ataques.
MÁS SOBRE ESTE TEMA: