Thunderbolt adalah antarmuka merek perangkat keras yang dikembangkan oleh Intel . Ini bertindak sebagai antarmuka antara komputer dan perangkat eksternal. Sementara sebagian besar komputer Windows dilengkapi dengan semua jenis port, banyak perusahaan menggunakan Thunderbolt untuk terhubung ke berbagai jenis perangkat. Itu membuat koneksi menjadi mudah, tetapi menurut penelitian di Universitas Teknologi Eindhoven ^{(Eindhoven University)},^(Technology) keamanan di balik Thunderbolt dapat dibobol menggunakan teknik — Thunderspy . Dalam posting ini, kami akan membagikan tips yang dapat Anda ikuti untuk melindungi komputer Anda dari Thunderspy .

Apa itu Tunerspy^(Tunderspy) ? Bagaimana cara kerjanya?

Ini adalah serangan sembunyi-sembunyi yang memungkinkan penyerang mengakses fungsionalitas akses memori langsung ( DMA ) untuk mengkompromikan perangkat. Masalah terbesarnya adalah tidak ada jejak yang tersisa saat ia bekerja tanpa menyebarkan malware atau umpan tautan apa pun. Itu dapat melewati praktik keamanan terbaik dan mengunci komputer. Jadi bagaimana cara kerjanya? Penyerang membutuhkan akses langsung ke komputer. Menurut penelitian, dibutuhkan kurang dari 5 menit dengan alat yang tepat.

Kiat untuk melindungi dari Thunderspy

Penyerang menyalin Firmware Pengontrol Thunderbolt^{(Thunderbolt Controller Firmware)} dari perangkat sumber ke perangkatnya. Kemudian menggunakan patcher firmware ( TCFP ) untuk menonaktifkan mode keamanan yang diterapkan di firmware Thunderbolt . Versi yang dimodifikasi disalin kembali ke komputer target menggunakan perangkat Bus Pirate . Kemudian perangkat serangan berbasis Thunderbolt terhubung ke perangkat yang diserang. ^{(Thunderbolt)}Kemudian menggunakan alat PCILeech untuk memuat modul kernel yang melewati layar masuk Windows .

Jadi meskipun komputer memiliki fitur keamanan seperti Boot Aman , ^{(Secure Boot)}BIOS yang kuat , dan kata sandi akun sistem operasi, dan mengaktifkan enkripsi disk penuh, diaktifkan, itu masih akan melewati semuanya.

TIPS^(TIP) : Spycheck akan memeriksa apakah PC Anda rentan terhadap serangan Thunderspy .

Kiat untuk melindungi dari Thunderspy

Microsoft merekomendasikan^(recommends) tiga cara untuk melindungi dari ancaman modern. Beberapa fitur yang dibangun ke dalam Windows ini dapat dimanfaatkan sementara beberapa harus diaktifkan untuk mengurangi serangan.

Perlindungan PC inti aman
Perlindungan DMA kernel
Integritas kode yang dilindungi hypervisor ( HVCI )

Yang mengatakan, semua ini dimungkinkan pada PC inti Aman. Anda tidak dapat menerapkan ini pada PC biasa karena tidak tersedia perangkat keras yang dapat mengamankannya dari serangan. Cara terbaik untuk mengetahui apakah PC Anda mendukungnya adalah dengan memeriksa bagian Keamanan Perangkat pada aplikasi ^{(Devic Security)}Keamanan Windows^{(Windows Security)} .

1] Perlindungan PC inti aman

Penjaga Sistem Pembela Windows

Windows Security , perangkat lunak keamanan internal Microsoft, menawarkan Windows Defender System Guard dan keamanan berbasis virtualisasi. Namun, Anda memerlukan perangkat yang menggunakan PC inti aman^{(Secured-core PCs)} . Ini menggunakan keamanan perangkat keras yang di-rooting di CPU modern untuk meluncurkan sistem ke status tepercaya. Ini membantu mengurangi upaya yang dilakukan oleh malware di tingkat firmware.

2] Perlindungan DMA kernel

Diperkenalkan di Windows 10 v1803, perlindungan Kernel DMA memastikan untuk memblokir periferal eksternal dari serangan Direct Memory Access ( DMA ) menggunakan perangkat hotplug ^(DMA)PCI seperti Thunderbolt . Ini berarti jika seseorang mencoba menyalin firmware Thunderbolt berbahaya ke mesin, itu akan diblokir melalui port Thunderbolt . Namun, jika pengguna memiliki nama pengguna dan kata sandi, ia akan dapat melewatinya.

3] Perlindungan pengerasan^(Hardening) dengan integritas kode yang dilindungi Hypervisor ( ^{(Hypervisor-protected)}HVCI )

Matikan Memori Integritas Inti Isolasi Keamanan Windows

Integritas kode yang dilindungi hypervisor atau HVCI harus diaktifkan pada Windows 10 . Ini mengisolasi subsistem integritas kode dan memverifikasi bahwa ada kode Kernel yang tidak diverifikasi dan ditandatangani oleh Microsoft . Ini juga memastikan bahwa kode kernel tidak dapat ditulis dan dieksekusi untuk memastikan kode yang tidak diverifikasi tidak dijalankan.

Thunderspy menggunakan alat PCILeech untuk memuat modul kernel yang melewati layar masuk Windows . Menggunakan HVCI akan memastikan untuk mencegah hal ini karena tidak akan memungkinkan untuk mengeksekusi kode.

Keamanan harus selalu menjadi yang utama dalam hal membeli komputer. Jika Anda berurusan dengan data yang penting, terutama dengan bisnis, disarankan untuk membeli perangkat PC inti Aman^{(Secured-core PC)} . Berikut adalah halaman resmi perangkat^{(such devices)} tersebut di situs web Microsoft.

Tips to protect your computer against Thunderspy attack

Thunderbolt is the hardware brand interface developed by Intel. It acts as an interface between computer and external devices. While most of the Windows computers come with all sorts of ports, many companies use Thunderbolt to connect to various types of devices. It makes connecting easy, but according to research at the Eindhoven University of Technology, the security behind Thunderbolt can be breached using a technique — Thunderspy. In this post, we will share tips you can follow to protect your computer against Thunderspy.

What is Tunderspy? How does it work?

Its a stealth attack that allows an attacker to access direct memory access (DMA) functionality to compromise devices. The biggest problem is that there is no trace left as it works without deploying any mind of malware or link bait. It can bypass the best security practices and lock the computer. So how does it work? The attacker needs direct access to the computer. According to the research, it takes less than5 minutes with the right tools.

Tips to protect against Thunderspy

The attacker copies the Thunderbolt Controller Firmware of the source device to his device. It then uses a firmware patcher (TCFP) to disable the security mode enforced in the Thunderbolt firmware. The modified version is copied back to the target computer using the Bus Pirate device. Then a Thunderbolt-based attack device is connected to the device being attacked. It then uses the PCILeech tool to load a kernel module that bypasses the Windows sign-in screen.

So even if the computer has security features like Secure Boot, strong BIOS, and operating system account passwords, and enabled full disk encryption, enabled, it will still bypass everything.

TIP: Spycheck will check if your PC is vulnerable to the Thunderspy attack.

Tips to protect against Thunderspy

Microsoft recommends three ways to protect against the modern threat. Some of these features that are built into Windows can be leveraged while some should be enabled to mitigate the attacks.

Secured-core PC protections
Kernel DMA protection
Hypervisor-protected code integrity (HVCI)

That said, all this is possible on a Secured-core PC. You simply cannot apply this on a regular PC because the hardware is not available that can secure it from the attack. The best way to find out if your PC supports it is by checking the Devic Security section of the Windows Security app.

1] Secured-core PC protections

Windows Defender System Guard

Windows Security, Microsoft’s in-house security software, offers Windows Defender System Guard and virtualization-based security. However, you need a device that uses Secured-core PCs. It uses rooted hardware security in the modern CPU to launch the system into a trusted state. It helps mitigate attempts made by malware at the firmware level.

2] Kernel DMA protection

Introduced in Windows 10 v1803, Kernel DMA protection makes sure to block external peripherals from Direct Memory Access (DMA) attacks using PCI hotplug devices such as Thunderbolt. It means if someone tries to copy malicious Thunderbolt firmware to a machine, it will be blocked over the Thunderbolt port. However, if the user has the username and password, he will be able to bypass it.

3] Hardening protection with Hypervisor-protected code integrity (HVCI)

Turn off Memory Integrity Core Isolation Windows Security

Hypervisor-protected code integrity or HVCI should be enabled on Windows 10. It isolates the code integrity subsystem and verified that there Kernel code is not verified and signed by Microsoft. It also ensures that kernel code cannot be both writable and executable to make sure unverified code does not execute.

Thunderspy uses the PCILeech tool to load a kernel module that bypasses the Windows sign-in screen. Using HVCI will make sure to prevent this as it will not allow it to execute the code.

Security should always be at the top when it comes to buying computers. If you deal with data that is important, especially with business, it is recommended to purchase Secured-core PC devices. Here is the official page of such devices on the Microsoft website.

Dimas Budiman

About the author

Saya seorang insinyur perangkat lunak senior dan pengembang aplikasi gambar & iPhone dengan pengalaman lebih dari 10 tahun. Keahlian saya dalam perangkat keras dan perangkat lunak membuat saya sangat cocok untuk proyek smartphone perusahaan atau konsumen mana pun. Saya memiliki pemahaman yang mendalam tentang cara membuat gambar berkualitas tinggi dan kemampuan untuk bekerja dengan semua format gambar yang berbeda. Selain itu, saya akrab dengan pengembangan Firefox dan iOS.

Kiat untuk melindungi komputer Anda dari serangan Thunderspy

Apa itu Tunerspy^(Tunderspy) ? Bagaimana cara kerjanya?