Tips om uw computer te beschermen tegen Thunderspy-aanvallen

Thunderbolt is de hardware-merkinterface ontwikkeld door Intel . Het fungeert als een interface tussen computer en externe apparaten. Hoewel de meeste Windows -computers worden geleverd met allerlei soorten poorten, gebruiken veel bedrijven Thunderbolt om verbinding te maken met verschillende soorten apparaten. Het maakt het verbinden gemakkelijk, maar volgens onderzoek van de Technische Universiteit (Eindhoven University)Eindhoven(Technology) kan de beveiliging achter Thunderbolt worden doorbroken met een techniek: Thunderspy . In dit bericht zullen we tips delen die u kunt volgen om uw computer te beschermen tegen Thunderspy .

Wat is Tunderspy ? Hoe werkt het?

Het is een stealth-aanval waarmee een aanvaller toegang kan krijgen tot DMA - functionaliteit (Direct Memory Access) om apparaten te compromitteren. Het grootste probleem is dat er geen spoor meer is omdat het werkt zonder enige vorm van malware of link-aas. Het kan de beste beveiligingspraktijken omzeilen en de computer vergrendelen. Dus hoe werkt het? De aanvaller heeft directe toegang tot de computer nodig. Volgens het onderzoek duurt het met de juiste tools minder dan 5 minuten.

Tips om te beschermen tegen Thunderspy

De aanvaller kopieert de Thunderbolt Controller Firmware van het bronapparaat naar zijn apparaat. Vervolgens wordt een firmware-patcher ( TCFP ) gebruikt om de beveiligingsmodus die in de Thunderbolt - firmware wordt afgedwongen, uit te schakelen. De gewijzigde versie wordt terug naar de doelcomputer gekopieerd met behulp van het Bus Pirate -apparaat. Vervolgens wordt een op Thunderbolt gebaseerd aanvalsapparaat aangesloten op het apparaat dat wordt aangevallen. Vervolgens gebruikt het de PCILeech- tool om een ​​kernelmodule te laden die het Windows -aanmeldingsscherm omzeilt.

Dus zelfs als de computer beveiligingsfuncties heeft zoals Secure Boot , sterke BIOS- en besturingssysteemaccountwachtwoorden en volledige schijfversleuteling ingeschakeld heeft, zal hij nog steeds alles omzeilen.

TIP : Spycheck controleert of uw pc kwetsbaar is voor de Thunderspy-aanval .

Tips om te beschermen tegen Thunderspy

Microsoft beveelt(recommends) drie manieren aan om te beschermen tegen de moderne dreiging. Sommige van deze functies die in Windows zijn ingebouwd, kunnen worden gebruikt, terwijl andere moeten worden ingeschakeld om de aanvallen te verminderen.

  • Secured-core pc-beveiliging
  • Kernel DMA-bescherming
  • Door hypervisor beschermde code-integriteit ( HVCI )

Dat gezegd hebbende, dit is allemaal mogelijk op een Secured-core pc. Je kunt dit simpelweg niet toepassen op een gewone pc omdat de hardware niet beschikbaar is die hem tegen de aanval kan beveiligen. De beste manier om erachter te komen of uw pc dit ondersteunt, is door het gedeelte Devic Security van de Windows Security- app te controleren.

1] Secured-core pc-beveiliging

Windows Defender-systeembeveiliging

Windows Security , de interne beveiligingssoftware van Microsoft, biedt Windows Defender System Guard en op virtualisatie gebaseerde beveiliging. U hebt echter een apparaat nodig dat gebruikmaakt van Secured-core pc's . Het maakt gebruik van geroote hardwarebeveiliging in de moderne CPU om het systeem in een vertrouwde staat te brengen. Het helpt pogingen van malware op firmwareniveau te verminderen.

2] Kernel DMA-bescherming

Geïntroduceerd in Windows 10 v1803, zorgt Kernel DMA - bescherming ervoor dat externe randapparatuur wordt geblokkeerd tegen DMA - aanvallen ( Direct Memory Access ) met behulp van (Memory Access)PCI -hotplug-apparaten zoals Thunderbolt . Het betekent dat als iemand probeert kwaadaardige Thunderbolt -firmware naar een machine te kopiëren, deze via de (Thunderbolt)Thunderbolt - poort wordt geblokkeerd . Als de gebruiker echter de gebruikersnaam en het wachtwoord heeft, kan hij deze omzeilen.

3] Harde(Hardening) bescherming met door Hypervisor beschermde(Hypervisor-protected) code-integriteit ( HVCI )

Schakel Memory Integrity Core Isolation Windows-beveiliging uit

Door hypervisor beschermde code-integriteit of HVCI moet worden ingeschakeld op Windows 10 . Het isoleert het code-integriteitssubsysteem en verifieert dat de kernelcode(Kernel) niet is geverifieerd en ondertekend door Microsoft . Het zorgt er ook voor dat kernelcode niet zowel beschrijfbaar als uitvoerbaar kan zijn om ervoor te zorgen dat niet-geverifieerde code niet wordt uitgevoerd.

Thunderspy gebruikt de PCILeech- tool om een ​​kernelmodule te laden die het Windows -aanmeldingsscherm omzeilt. Het gebruik van HVCI(HVCI) zorgt ervoor dat dit wordt voorkomen, omdat het de code niet kan uitvoeren.

Beveiliging moet altijd bovenaan staan ​​als het gaat om het kopen van computers. Als je te maken hebt met data die belangrijk zijn, vooral zakelijk, is het aan te raden om Secured-core pc- apparaten aan te schaffen. Hier is de officiële pagina van dergelijke apparaten(such devices) op de Microsoft-website.



Thijmen Mol

About the author

Ik ben software engineer en heb ervaring met zowel Microsoft Office als de Chrome browser. Ik heb kennis van vele aspecten van webontwikkeling, inclusief maar niet beperkt tot: HTML, CSS, JavaScript, jQuery en React. Door mijn interesse in het werken met technologie ben ik ook bekend met verschillende platformen (Windows, Mac, iOS) en begrijp ik hoe ze werken.


Related posts