Hace un par de días, os hablábamos de los problemas de seguridad relativos a Thunderbolt y, en los comentarios nos indicabais que solo Mac OS X era infalible frente a este ataque y Windows no.
Los investigadores de la Universidad Tecnológica de Eindhoven habían encontrado una vulnerabilidad crítica en la tecnología Thunderbolt de Intel etiquetada como «Thunderspy». Según los investigadores, prácticamente todos los PC con un puerto Thunderbolt fabricados antes de 2019 son vulnerables, aunque la explotación de este puerto requiere tener acceso físico a los PC. Pero, parece que no todos los PC son vulnerables.
El núcleo seguro de Windows destaca frente a Thunderspy
Thunderspy es considerado por los investigadores como un defecto de diseño que no puede ser corregido por las actualizaciones de software, por lo que el rediseño de silicio es obligatorio. Por lo tanto, la única manera de proteger completamente su PC contra los ataques Thunderspy es desactivar el controlador Thunderbolt por completo en UEFI (BIOS), aunque eso es probablemente un poco extremo teniendo en cuenta todos los beneficios que nos ofrece Thunderbolt 3.
Aquellos PCs que se apoyan en la protección DMA del Kernel están mejor protegidos frente a esta vulnerabilidad. Microsoft lo confirmó ayer en su blog sobre su arquitectura personalizada de PC de núcleo seguro, que la compañía introdujo el otoño pasado:
Los equipos de núcleo protegido se envían con hardware y firmware que admiten la protección DMA del núcleo, que está habilitada de forma predeterminada en el sistema operativo Windows. La protección DMA del núcleo se basa en la unidad de administración de memoria de entrada/salida (IOMMU) para bloquear los periféricos externos de inicio y ejecución de DMA a menos que un usuario autorizado haya iniciado sesión y la pantalla esté desbloqueada.
Esto significa que incluso si un atacante fuera capaz de copiar un firmware Thunderbolt malicioso a un dispositivo, la protección DMA del núcleo en un PC de núcleo seguro impediría cualquier acceso a través del puerto Thunderbolt a menos que el atacante obtenga la contraseña del usuario además de estar en posesión física del dispositivo, lo que aumentaría significativamente el grado de dificultad para el atacante.
La lista de equipos de núcleo seguro ya incluye varios dispositivos de Dell, HP, Lenovo e incluso la Surface Pro X de Microsoft. Vale la pena señalar que Microsoft nunca ha implementado este puerto hasta ahora por el riesgo de seguridad existente. Quizás, el éxito del núcleo seguro cambie la mentalidad de Microsoft.
