Специалист из Технического университета Эйндховена (Нидерланды) Бьорн Райтенберг раскрыл подробности о новом методе атаки порта Intel Thunderbolt под названием Thunderspy.

При помощи этого метода можно обойти шифрование диска и экран входа в систему из спящего состояния на компьютерах с ОС Windows и Linux, выпущенных до 2019 года. Thunderspy принадлежит к типу атак Evil Maid («Злая горничная»), то есть связанных с несанкционированным доступом к устройству.

Менее чем за пять минут хакер может открыть заднюю крышку компьютера или ноутбука, подключить устройство, перепрограммировать прошивку и вернуть крышку на место — всё это не оставляя следов на оборудовании и в операционной системе.

Несмотря на то, что Thunderspy успешно обходит систему безопасности Thunderbolt Security Level, интегрированную в Intel, метод атаки не способен обойти инструмент защиты ядра (Kernel Direct Memory Access Protection), который выпущен в 2019 году. Однако устройства, выпущенные ранее, не обладают этим защитным фактором.

Исследователь аппаратного обеспечения Карстен Ноль в комментарии изданию Wired рассказал, что массовому пользователю уязвимость не угрожает из-за определённого уровня сложности её воспроизведения и необходимости физического доступа. Однако он был удивлён, насколько легко обходятся Thunderbolt Security Level.

В Intel подтвердили наличие уязвимости, но подчеркнули, что Kernel Direct Memory Access Protection полностью предотвращает подобные атаки. Райтенберг предложил пользователям вовсе отключить порт Thunderbolt в BIOS компьютера, а также активировать шифрование жёсткого диска.