Thunderspy es una vulnerabilidad que se aprovecha del puerto Thunderbolt

Thunderspy es una vulnerabilidad que se aprovecha del puerto Thunderbolt Omicrono

Tecnología

Fallo crítico de Thunderbolt permite hackear cualquier portátil en menos de 5 minutos

Investigadores han descubierto una vulnerabilidad de Thunderbolt que permitiría a los atacantes acceder a los datos del dispositivo en muy poco tiempo.

11 mayo, 2020 17:08

Noticias relacionadas

Si dejas tu portátil sin atender durante unos cinco minutos, hay una posibilidad de que hayan robado todos tus datos; todo gracias a un fallo en el puerto Thunderbolt, presente en millones de ordenadores portátiles.

La vulnerabilidad ha recibido el nombre de Thunderspy, al permitir a un atacante espiar todo el contenido de nuestro portátil sin ningún tipo de limitación; de hecho, el ataque es capaz de saltarse todas las medidas de seguridad a nivel de sistema operativo y de hardware.

Eso es porque este es un fallo de los propios componentes de hardware de la conexión Thunderbolt, y por lo tanto no puede ser arreglado con un simple 'parche' del sistema operativo. Al usar esta vulnerabilidad, el atacante entra en el 'nivel de seguridad 0', saltándose las medidas de seguridad que Intel implementó en su día.

Nivel de seguridad cero

La principal razón por la que las conexiones Thunderbolt siempre han sido rápidas es porque están basadas en PCI-Express. El problema entonces es que estos dispositivos son capaces de acceder directamente a la memoria, sin necesidad de pasar por el sistema operativo.

Para tapar esta potencial puerta trasera, Intel desarrolló los llamados 'niveles de seguridad', que asignaba a cada dispositivo un nivel con el alcance que podía tener cuando se conectaba a nuestro dispositivo.

MacBook con puerto Thunderbolt

MacBook con puerto Thunderbolt

De manera efectiva, la vulnerabilidad descubierta por Björn Ruytenberg, investigador de seguridad de la Universidad de Eindhoven, es capaz de alcanzar el nivel de seguridad cero, el que da todo el acceso posible desde la conexión Thunderbolt. Para ello, modifica el firmware del chip interno, cambiando su configuración de seguridad.

Este ataque por lo tanto puede saltarse la pantalla de inicio de sesión del sistema operativo, o incluso el cifrado de datos que tengamos en nuestro disco duro; el atacante tendría acceso a todo lo que hemos almacenado en el ordenador y a todos los programas.

Cómo es posible este ataque a Thunderbolt

El único verdadero impedimento que tiene Thunderspy es que, en algunos casos, es necesario abrir la tapa inferior del portátil para tener acceso directo a la conexión interna y conectar un dispositivo, que se puede montar y configurar con partes baratas obtenidas en cualquier tienda especializada en Internet.

Ataque en un ordenador Windows con Thunderspy

Sin embargo, el proceso aparte de este detalle es rápido y sencillo, y se ha demostrado que es posible hackear un ordenador portátil en menos de cinco minutos. Dependiendo del modelo, la víctima no se dará cuenta de que el portátil ha sido abierto y no notará nada raro cuando intente iniciar sesión como siempre.

Por lo tanto, este ataque es especialmente peligroso para usuarios que dejen su portátil en sitios accesibles por otras personas. Un ejemplo puede ser la habitación de nuestro hotel, o incluso nuestra propia casa si dejamos entrar a invitados desconocidos.

Afectados millones de equipos

Todos los ordenadores Windows y Linux con puertos Thunderbolt vendidos antes de 2019 son vulnerables a este ataque; algunos ordenadores vendidos de 2019 en adelante ya tienen algunas protecciones adicionales que mitigan (pero no eliminan) esta vulnerabilidad.

En cuanto los MacBook, los modelos vendidos desde 2011 están afectados, pero los de pantalla Retina (la mayoría de los modelos actuales) sólo están "parcialmente afectados". Sin embargo, ten en cuenta que si usas Boot Camp para ejecutar Windows o Linux, quedarás completamente expuesto a esta vulnerabilidad.

Cómo saber si nos afecta

Ruytenberg ha publicado un programa llamado Spycheck, con versiones para Windows y para Linux, que nos indica si Thunderspy puede ser usado para espiar nuestro ordenador.

Algunos equipos con Thunderbolt pueden estar parcialmente vulnerables

Algunos equipos con Thunderbolt pueden estar parcialmente vulnerables Omicrono

Sólo tenemos que ejecutarlos y elegir el tipo de puerto que tiene nuestro ordenador, siguiendo la guía mostrada. Si no tenemos puertos Thunderbolt, evidentemente nuestro ordenador no es vulnerable.

Descarga Spycheck para Windows

Descarga Spycheck para Linux

¿Es tan grave como parece?

Ruytenberg ha publicado la vulnerabilidad aunque no está aún arreglada, algo extraño entre los investigadores de seguridad; afirma que avisó a Intel, que confirmó las vulnerabilidades pero, según él, no hizo nada al respecto.

En su defensa, Intel ha publicado hoy un artículo en el que quita importancia a la vulnerabilidad, asegurando que no hay nada nuevo y que los sistemas operativos ya lanzaron actualizaciones en su día para mitigar algunos de los ataques posibles con esta vulnerabilidad.

Si tu ordenador no tiene Thunderbolt, no se ve afectado

Si tu ordenador no tiene Thunderbolt, no se ve afectado Omicrono

Sin embargo, Ruytenberg cree que Intel no hará nada contra Thunderspy porque no se puede arreglar con una actualización de software; sólo cambiando la pieza en cuestión por otra no vulnerable sería posible protegerse.

Es un problema similar al que Intel ya tuvo en su día con Meltdown y Spectre, dos vulnerabilidades que afectaban a sus procesadores, y que no podían eliminarse completamente con una simple actualización; sólo comprando los nuevos procesadores es posible protegerse completamente.

Desde que Thunderbolt fuese desarrollado por Intel en colaboración con Apple para conseguir un puerto rápido y fácil de usar para los MacBook, esta tecnología ha conseguido adaptarse a las últimas tendencias; de hecho, últimamente Thunderbolt ha conseguido un gran éxito al adoptar el conector USB-C, y con la próxima versión será compatible con USB4 y con DisplayPort.