Thunderbolt er hardwarebrandgrænsefladen udviklet af Intel . Det fungerer som en grænseflade mellem computer og eksterne enheder. Mens de fleste af Windows -computere kommer med alle mulige porte, bruger mange virksomheder Thunderbolt til at oprette forbindelse til forskellige typer enheder. Det gør forbindelsen let, men ifølge forskning ved Eindhoven University of Technology kan sikkerheden bag Thunderbolt brydes ved hjælp af en teknik - Thunderspy . I dette indlæg vil vi dele tips, du kan følge for at beskytte din computer mod Thunderspy .

Hvad er Tunderspy ? Hvordan virker det?

Det er et stealth-angreb, der gør det muligt for en angriber at få adgang til DMA - funktioner (Direct Memory Access) for at kompromittere enheder. Det største problem er, at der ikke er noget spor tilbage, da det fungerer uden at installere malware eller linklokke. Det kan omgå den bedste sikkerhedspraksis og låse computeren. Så hvordan virker det? Angriberen skal have direkte adgang til computeren. Ifølge forskningen tager det mindre end 5 minutter med de rigtige værktøjer.

Angriberen kopierer kildeenhedens Thunderbolt Controller Firmware til sin enhed. Den bruger derefter en firmware-patcher ( TCFP ) til at deaktivere sikkerhedstilstanden, der er håndhævet i Thunderbolt - firmwaren. Den ændrede version kopieres tilbage til målcomputeren ved hjælp af Bus Pirate -enheden. Derefter er en Thunderbolt -baseret angrebsenhed forbundet til den enhed, der bliver angrebet. Den bruger derefter PCILeech- værktøjet til at indlæse et kernemodul, der omgår Windows -logonskærmen .

Så selvom computeren har sikkerhedsfunktioner som Sikker opstart^{(Secure Boot)} , stærk BIOS og operativsystemkontoadgangskoder og aktiveret fuld diskkryptering, vil den stadig omgå alt.

TIP : Spycheck vil kontrollere, om din pc er sårbar over for Thunderspy-angrebet .

Tips til beskyttelse mod Thunderspy

Microsoft anbefaler^(recommends) tre måder at beskytte sig mod den moderne trussel på. Nogle af disse funktioner, der er indbygget i Windows, kan udnyttes, mens nogle bør aktiveres for at afbøde angrebene.

• Sikker kerne-pc-beskyttelse
• Kernel DMA beskyttelse
• Hypervisor-beskyttet kodeintegritet ( HVCI )

Når det er sagt, er alt dette muligt på en Secured-core pc. Du kan simpelthen ikke anvende dette på en almindelig pc, fordi den hardware ikke er tilgængelig, der kan sikre den mod angrebet. Den bedste måde at finde ud af, om din pc understøtter det, er ved at tjekke afsnittet Device Security^{(Devic Security)} i Windows Security -appen.

1] Sikker kerne-pc-beskyttelse

Windows Security , Microsofts interne sikkerhedssoftware, tilbyder Windows Defender System Guard og virtualiseringsbaseret sikkerhed. Du har dog brug for en enhed, der bruger Secured-core pc'er^{(Secured-core PCs)} . Den bruger rodfæstet hardwaresikkerhed i den moderne CPU til at starte systemet i en pålidelig tilstand. Det hjælper med at afbøde forsøg fra malware på firmwareniveau.

2] Kernel DMA beskyttelse

Introduceret i Windows 10 v1803 sørger Kernel DMA -beskyttelse for at blokere eksterne perifere enheder fra DMA - angreb ( Direct Memory Access ) ved hjælp af ^{(Memory Access)}PCI -hotplug-enheder såsom Thunderbolt . Det betyder, at hvis nogen forsøger at kopiere ondsindet Thunderbolt -firmware til en maskine, vil den blive blokeret over Thunderbolt -porten. Men hvis brugeren har brugernavnet og adgangskoden, vil han være i stand til at omgå det.

3] Hærdningsbeskyttelse^(Hardening) med Hypervisor-beskyttet^{(Hypervisor-protected)} kodeintegritet ( HVCI )

Hypervisor-beskyttet kodeintegritet eller HVCI bør være aktiveret på Windows 10 . Det isolerer kodeintegritetsundersystemet og bekræftede, at kernekoden^(Kernel) der ikke er verificeret og signeret af Microsoft . Det sikrer også, at kernekode ikke både kan skrives og eksekveres for at sikre, at uverificeret kode ikke udføres.

Thunderspy bruger PCILeech- værktøjet til at indlæse et kernemodul, der omgår Windows -logonskærmen . Brug af HVCI vil sørge for at forhindre dette, da det ikke vil tillade det at udføre koden.

Sikkerheden skal altid være i top, når det kommer til køb af computere. Hvis du beskæftiger dig med data, der er vigtige, især for erhvervslivet, anbefales det at købe Secured-core pc- enheder. Her er den officielle side for sådanne enheder^{(such devices)} på Microsofts websted.

Tips to protect your computer against Thunderspy attack

Thunderbolt is the hardware brand interface developed by Intel. It acts as an interface between computer and external devices. While most of the Windows computers come with all sorts of ports, many companies use Thunderbolt to connect to various types of devices. It makes connecting easy, but according to research at the Eindhoven University of Technology, the security behind Thunderbolt can be breached using a technique — Thunderspy. In this post, we will share tips you can follow to protect your computer against Thunderspy.

What is Tunderspy? How does it work?

Its a stealth attack that allows an attacker to access direct memory access (DMA) functionality to compromise devices. The biggest problem is that there is no trace left as it works without deploying any mind of malware or link bait. It can bypass the best security practices and lock the computer.  So how does it work? The attacker needs direct access to the computer. According to the research, it takes less than5 minutes with the right tools.

The attacker copies the Thunderbolt Controller Firmware of the source device to his device. It then uses a firmware patcher (TCFP) to disable the security mode enforced in the Thunderbolt firmware. The modified version is copied back to the target computer using the Bus Pirate device. Then a Thunderbolt-based attack device is connected to the device being attacked. It then uses the PCILeech tool to load a kernel module that bypasses the Windows sign-in screen.

So even if the computer has security features like Secure Boot, strong BIOS, and operating system account passwords, and enabled full disk encryption, enabled, it will still bypass everything.

TIP: Spycheck will check if your PC is vulnerable to the Thunderspy attack.

Tips to protect against Thunderspy

Microsoft recommends three ways to protect against the modern threat. Some of these features that are built into Windows can be leveraged while some should be enabled to mitigate the attacks.

• Secured-core PC protections
• Kernel DMA protection
• Hypervisor-protected code integrity (HVCI)

That said, all this is possible on a Secured-core PC. You simply cannot apply this on a regular PC because the hardware is not available that can secure it from the attack. The best way to find out if your PC supports it is by checking the Devic Security section of the Windows Security app.

1] Secured-core PC protections

Windows Security, Microsoft’s in-house security software, offers Windows Defender System Guard and virtualization-based security. However, you need a device that uses Secured-core PCs. It uses rooted hardware security in the modern CPU to launch the system into a trusted state. It helps mitigate attempts made by malware at the firmware level.

2] Kernel DMA protection

Introduced in Windows 10 v1803, Kernel DMA protection makes sure to block external peripherals from Direct Memory Access (DMA) attacks using PCI hotplug devices such as Thunderbolt. It means if someone tries to copy malicious Thunderbolt firmware to a machine, it will be blocked over the Thunderbolt port. However, if the user has the username and password,  he will be able to bypass it.

3] Hardening protection with Hypervisor-protected code integrity (HVCI)

Hypervisor-protected code integrity or HVCI should be enabled on Windows 10. It isolates the code integrity subsystem and verified that there Kernel code is not verified and signed by Microsoft. It also ensures that kernel code cannot be both writable and executable to make sure unverified code does not execute.

Thunderspy uses the PCILeech tool to load a kernel module that bypasses the Windows sign-in screen. Using HVCI will make sure to prevent this as it will not allow it to execute the code.

Security should always be at the top when it comes to buying computers. If you deal with data that is important, especially with business, it is recommended to purchase Secured-core PC devices. Here is the official page of such devices on the Microsoft website.

Related posts

• Hvordan undgår man phishing-svindel og angreb?

• Hvad er Remote Access Trojan? Forebyggelse, opdagelse og fjernelse

• Fjern virus fra USB-flashdrev ved hjælp af kommandoprompt eller batchfil

• Rogue Security Software eller Scareware: Hvordan kontrolleres, forhindres, fjernes?

• Hvad er Win32: BogEnt, og hvordan fjerner man det?

• Undgå Drive-by-downloads og relaterede malwareangreb

• Gratis værktøjer til fjernelse af malware til at fjerne specifik virus i Windows 11/10

• Hvad er Living Off The Land-angreb? Hvordan holder man sig sikker?

• Microsoft Windows-logoproces i Task Manager; Er det en virus?

• Hvad er FileRepMalware? Skal du fjerne det?

• Crystal Security er et gratis cloud-baseret malware-detektionsværktøj til pc

• Sådan afinstalleres eller fjernes Driver Tonic fra Windows 10

• Hvad er CandyOpen? Sådan fjerner du CandyOpen fra Windows 10?

• Sådan forhindrer du malware - Tips til at sikre Windows 11/10

• Hvordan kan du få en computervirus, trojan, arbejde, spyware eller malware?

• Sådan bruger du Avast Boot Scan til at fjerne malware fra Windows PC

• Potentielt uønskede programmer eller applikationer; Undgå at installere PUP/PUA

• Hvad er et bagdørsangreb? Betydning, eksempler, definitioner

• Indsendelse af malware: Hvor indsender man malware-filer til Microsoft og andre?

• Ret søgning mislykkedes, når du kører Chrome Malware Scanner