Suggerimenti per proteggere il tuo computer dagli attacchi Thunderspy

Thunderbolt è l'interfaccia del marchio hardware sviluppata da Intel . Funge da interfaccia tra computer e dispositivi esterni. Sebbene la maggior parte dei computer Windows sia dotata di tutti i tipi di porte, molte aziende utilizzano Thunderbolt per connettersi a vari tipi di dispositivi. Semplifica la connessione, ma secondo una ricerca della Eindhoven University of Technology , la sicurezza dietro Thunderbolt può essere violata utilizzando una tecnica: Thunderspy . In questo post, condivideremo i suggerimenti che puoi seguire per proteggere il tuo computer da Thunderspy .

Cos'è Tunderspy ? Come funziona?

È un attacco invisibile che consente a un utente malintenzionato di accedere alla funzionalità di accesso diretto alla memoria ( DMA ) per compromettere i dispositivi. Il problema più grande è che non rimane traccia poiché funziona senza distribuire alcuna mente di malware o link bait. Può aggirare le migliori pratiche di sicurezza e bloccare il computer. Quindi, come funziona? L'attaccante ha bisogno dell'accesso diretto al computer. Secondo la ricerca, bastano meno di 5 minuti con gli strumenti giusti.

Suggerimenti per proteggersi da Thunderspy

L'attaccante copia il firmware del controller Thunderbolt(Thunderbolt Controller Firmware) del dispositivo di origine sul proprio dispositivo. Quindi utilizza un patcher del firmware ( TCFP ) per disabilitare la modalità di sicurezza applicata nel firmware Thunderbolt . La versione modificata viene copiata sul computer di destinazione utilizzando il dispositivo Bus Pirate . Quindi un dispositivo di attacco basato su Thunderbolt viene collegato al dispositivo che viene attaccato. Quindi utilizza lo strumento PCILeech per caricare un modulo del kernel che ignora la schermata di accesso di Windows .

Quindi, anche se il computer ha funzionalità di sicurezza come Secure Boot , BIOS forte e password dell'account del sistema operativo e la crittografia completa del disco abilitata, abiliterà comunque tutto.

SUGGERIMENTO(TIP) : Spycheck verificherà se il tuo PC è vulnerabile all'attacco Thunderspy .

Suggerimenti per proteggersi da Thunderspy

Microsoft consiglia(recommends) tre modi per proteggersi dalla minaccia moderna. Alcune di queste funzionalità integrate in Windows possono essere sfruttate mentre alcune dovrebbero essere abilitate per mitigare gli attacchi.

  • Protezioni PC Secured-core
  • Protezione DMA del kernel
  • Integrità del codice protetta dall'hypervisor ( HVCI )

Detto questo, tutto questo è possibile su un PC Secured-core. Semplicemente non puoi applicarlo su un normale PC perché non è disponibile l'hardware in grado di proteggerlo dall'attacco. Il modo migliore per scoprire se il tuo PC lo supporta è controllare la sezione Sicurezza del dispositivo dell'app (Devic Security)Sicurezza di Windows(Windows Security) .

1] Protezioni PC Secured-core

Protezione del sistema di Windows Defender

Windows Security , il software di sicurezza interno di Microsoft, offre Windows Defender System Guard e la sicurezza basata sulla virtualizzazione. Tuttavia, è necessario un dispositivo che utilizzi PC Secured-core(Secured-core PCs) . Utilizza la sicurezza hardware radicata nella moderna CPU per avviare il sistema in uno stato attendibile. Aiuta a mitigare i tentativi di malware a livello di firmware.

2] Protezione DMA del kernel

Introdotta in Windows 10 v1803, la protezione DMA del kernel(Kernel DMA) assicura il blocco delle periferiche esterne dagli attacchi DMA ( Direct Memory Access ) utilizzando dispositivi hotplug PCI come (PCI)Thunderbolt . Significa che se qualcuno tenta di copiare il firmware Thunderbolt dannoso su una macchina, verrà bloccato sulla porta Thunderbolt . Tuttavia, se l'utente ha il nome utente e la password, sarà in grado di ignorarli.

3] Protezione avanzata con integrità del codice protetto (Hypervisor-protected)dall'hypervisor ( (HVCI)HVCI(Hardening) )

Disattiva la protezione di Windows per l'isolamento del core di integrità della memoria

L'integrità del codice protetto dall'hypervisor o HVCI deve essere abilitato su Windows 10 . Isola il sottosistema di integrità del codice e verifica che il codice del kernel non sia verificato e firmato da Microsoft . Garantisce inoltre che il codice del kernel non possa essere sia scrivibile che eseguibile per assicurarsi che il codice non verificato non venga eseguito.

Thunderspy usa lo strumento PCILeech per caricare un modulo del kernel che ignora la schermata di accesso di Windows . L'uso di HVCI(HVCI) assicurerà di impedirlo poiché non consentirà di eseguire il codice.

La sicurezza dovrebbe essere sempre al primo posto quando si tratta di acquistare computer. Se hai a che fare con dati importanti, in particolare con il business, si consiglia di acquistare dispositivi PC Secured-core(Secured-core PC) . Ecco la pagina ufficiale di tali dispositivi(such devices) sul sito Web di Microsoft.



Edoardo Fabbri

About the author

Sono uno sviluppatore web con esperienza di lavoro sia con Windows 11 che con Windows 10. Sono anche un utente di Firefox da molti anni e sono diventato abbastanza abile nell'uso della nuovissima console di gioco Xbox One. I miei interessi principali risiedono nello sviluppo di software, in particolare nello sviluppo web e mobile, nonché nella scienza dei dati. Sono molto ben informato sui vari sistemi informatici e sul loro utilizzo, quindi posso fornire un feedback imparziale su vari programmi o servizi che potresti utilizzare.


Related posts