ธันเดอร์สไป

โลโก้ที่สร้างขึ้นเพื่อปกปิดช่องโหว่ โดยมีภาพของสายลับอยู่ด้วย
ตัวระบุ CVE	CVE- 2020-????
วันที่ค้นพบ	พฤษภาคม 2020 ( 5 พฤษภาคม 2020 )
วันที่แก้ไข	2019 ผ่านการป้องกัน DMA ของเคอร์เนล
ดิสคัฟเวอร์เนอร์	บียอร์น รุยเทนเบิร์ก
ฮาร์ดแวร์ที่ได้รับผลกระทบ	คอมพิวเตอร์ที่ผลิตก่อนปี 2019 และบางเครื่องหลังจากนั้น มีพอร์ต Intel Thunderbolt 3 (และต่ำกว่า ) [ 1 ]
เว็บไซต์	thunderspy .io

Thunderspy เป็น ช่องโหว่ด้านความปลอดภัยประเภทหนึ่งซึ่งเกิดขึ้นจากพอร์ต Intel Thunderbolt 3มีการรายงานต่อสาธารณะครั้งแรกเมื่อวันที่ 10 พฤษภาคม 2020 ช่องโหว่นี้สามารถทำให้ผู้บุกรุก (เช่น ผู้โจมตีอุปกรณ์ที่ไม่มีผู้ดูแล) สามารถเข้าถึงข้อมูลทั้งหมดของคอมพิวเตอร์ได้ภายในเวลาประมาณห้านาที และอาจส่งผลกระทบต่อ คอมพิวเตอร์ Apple , LinuxและWindows หลายล้าน เครื่อง รวมถึงคอมพิวเตอร์ที่ผลิตก่อนปี 2019 และบางเครื่องที่ผลิตหลังจากนั้นด้วย^{[ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ]}

ตามคำกล่าวของ Björn Ruytenberg ผู้ค้นพบช่องโหว่ "แม่บ้านชั่วร้ายเพียงแค่ต้องคลายสกรูแผ่นหลัง ติดตั้งอุปกรณ์ชั่วครู่ โปรแกรมเฟิร์มแวร์ใหม่ ติดตั้งแผ่นหลังกลับเข้าไป และแม่บ้านชั่วร้ายก็จะสามารถเข้าถึงแล็ปท็อปได้อย่างเต็มที่ ทั้งหมดนี้สามารถทำได้ภายในเวลาไม่ถึงห้านาที" ^{[ 1 ]}เฟิร์มแวร์ที่เป็นอันตรายนี้ใช้ในการโคลนข้อมูลประจำตัวของอุปกรณ์ ซึ่งทำให้การโจมตี DMA แบบคลาสสิกเป็นไปได้^{[ 4 ]}

ช่องโหว่ด้านความปลอดภัย Thunderspy ได้รับการรายงานต่อสาธารณะครั้งแรกโดย Björn Ruytenberg จากมหาวิทยาลัยเทคโนโลยี Eindhovenในประเทศ^{เนเธอร์แลนด์ เมื่อวันที่ 10 พฤษภาคม 2020 [ 9 ] Thunderspy คล้ายกับ Thunderclap [} 10 ] ^{[ 11 ]}ซึ่งเป็นช่อง^{โหว่ด้านความปลอดภัยอีก}ตัวหนึ่งที่ได้รับการรายงานในปี 2019 ซึ่งเกี่ยวข้องกับการเข้าถึงไฟล์คอมพิวเตอร์ผ่านพอร์ต Thunderbolt เช่นกัน^{[ 8 ]}

ช่องโหว่ด้านความปลอดภัยนี้ส่งผลกระทบต่อคอมพิวเตอร์ Apple, Linux และ Windows หลายล้านเครื่อง รวมถึงคอมพิวเตอร์ทั้งหมดที่ผลิตก่อนปี 2019 และบางส่วนที่ผลิตหลังจากนั้น^{[ 1 ] [ 3 ] [ 4 ]}อย่างไรก็ตาม ผลกระทบนี้จำกัดอยู่เพียงความแม่นยำที่ผู้ไม่ประสงค์ดีจะต้องใช้ในการโจมตีเท่านั้น จำเป็นต้องมีการเข้าถึงทางกายภาพไปยังเครื่องที่มีตัวควบคุม Thunderbolt ที่มีช่องโหว่ รวมถึงชิป ROM ที่เขียนได้สำหรับเฟิร์มแวร์ของตัวควบคุม Thunderbolt ^{[ 4 ]}นอกจากนี้ ส่วนหนึ่งของ Thunderspy โดยเฉพาะส่วนที่เกี่ยวข้องกับการเขียนเฟิร์มแวร์ของตัวควบคุมใหม่ จำเป็นต้องให้เครื่องอยู่ในโหมดพักเครื่อง^{[ 4 ]}หรืออย่างน้อยก็อยู่ในสถานะเปิดเครื่อง เพื่อให้มีประสิทธิภาพ^{[ 12 ]}เครื่องที่บังคับปิดเครื่องเมื่อเปิดเคสอาจช่วยต้านทานการโจมตีนี้ได้ในระดับที่ฟีเจอร์ (สวิตช์) นั้นเองสามารถต้านทานการดัดแปลงได้

เนื่องจากลักษณะของการโจมตีที่ต้องอาศัยการเข้าถึงฮาร์ดแวร์ทางกายภาพอย่างกว้างขวาง จึงไม่น่าเป็นไปได้ที่การโจมตีจะส่งผลกระทบต่อผู้ใช้นอกสภาพแวดล้อมทางธุรกิจหรือภาครัฐ^{[ 12 ] [ 13 ]}

นักวิจัยอ้างว่าไม่มีวิธีแก้ปัญหาซอฟต์แวร์ที่ง่าย และอาจบรรเทาได้โดยการปิดใช้งานพอร์ต Thunderbolt โดยสิ้นเชิง^{[ 1 ]}อย่างไรก็ตาม ผลกระทบของการโจมตีนี้ (การอ่านหน่วยความจำระดับเคอร์เนลโดยที่เครื่องไม่จำเป็นต้องปิดเครื่อง) ได้รับการบรรเทาอย่างมากด้วยคุณสมบัติป้องกันการบุกรุกที่เครื่องธุรกิจหลายเครื่องมีให้^{[ 14 ]} Intel อ้างว่าการเปิดใช้งานคุณสมบัติดังกล่าวจะจำกัดประสิทธิภาพของการโจมตีได้อย่างมาก^{[ 15 ]}คำแนะนำด้านความปลอดภัยอย่างเป็นทางการของ Microsoft แนะนำให้ปิดใช้งานโหมดสลีปขณะใช้ BitLocker ^{[ 16 ]}การใช้โหมดไฮเบอร์เนชั่นแทนโหมดสลีปจะปิดอุปกรณ์ ซึ่งจะช่วยลดความเสี่ยงที่อาจเกิดขึ้นจากการโจมตีข้อมูลที่เข้ารหัส

• เว็บไซต์อย่างเป็นทางการ
• วิดีโอ (5:54) – Thunderspy: การพิสูจน์แนวคิดบน YouTube
• วิดีโอ (11:01) - Thunderspy ไม่ใช่เรื่องที่ต้องกังวล - นี่คือเหตุผลบน YouTube