مؤخرا تم إصدار معلومات حول سبع نقاط ضعف تؤثر على أجهزة الكمبيوتر المزودة بـ Thunderbolt ، كانت هذه الثغرات المعروفة مدرج باسم "Thunderspy" ومعهم يمكن للمهاجم الاستفادة من التحايل على جميع المكونات الرئيسية لضمان أمان Thunderbolt.
اعتمادا على المشاكل التي تم تحديدها ، تم اقتراح تسعة سيناريوهات للهجوم يتم تنفيذها إذا كان المهاجم لديه وصول محلي إلى النظام عن طريق توصيل جهاز ضار أو التلاعب بالبرامج الثابتة للكمبيوتر.
سيناريوهات الهجوم تتضمن القدرة على إنشاء معرفات لأجهزة Thunderbolt اعتباطيا، استنساخ الأجهزة المصرح بها الوصول العشوائي للذاكرة من خلال DMA وتجاوز إعدادات مستوى الأمان ، بما في ذلك تعطيل جميع آليات الحماية تمامًا ، وحظر تثبيت تحديثات البرامج الثابتة ، وترجمة الواجهة إلى وضع Thunderbolt على الأنظمة التي تقتصر على إعادة توجيه USB أو DisplayPort.
حول Thunderbolt
بالنسبة لأولئك الذين ليسوا على دراية بـ Thunderbolt ، يجب أن تعرف أن هذا البريدإنها واجهة عالمية تستخدم لتوصيل الأجهزة الطرفية التي يجمع بين واجهات PCIe (PCI Express) و DisplayPort في كابل واحد. تم تطوير Thunderbolt بواسطة Intel و Apple ويستخدم في العديد من أجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر الحديثة.
أجهزة Thunderbolt المستندة إلى PCIe لديك وصول مباشر للذاكرة I / O ، يشكل تهديدًا لهجمات DMA لقراءة وكتابة كل ذاكرة النظام أو التقاط البيانات من الأجهزة المشفرة. لتجنب مثل هذه الهجمات ، اقترح Thunderbolt مفهوم "مستويات الأمان" ، والذي يسمح باستخدام الأجهزة المصرح بها فقط من قبل المستخدم ويستخدم المصادقة المشفرة للاتصالات للحماية من الاحتيال في الهوية.
حول Thunderspy
من نقاط الضعف التي تم تحديدها، فهذه تجعل من الممكن تجنب الارتباط المذكور وتوصيل جهاز ضار تحت ستار جهاز مصرح به. بالإضافة إلى ذلك ، من الممكن تعديل البرنامج الثابت ووضع SPI Flash في وضع القراءة فقط ، والذي يمكن استخدامه لتعطيل مستويات الأمان تمامًا ومنع تحديثات البرامج الثابتة (تم إعداد أدوات tcfp و spiblock لمثل هذه التلاعبات).
- استخدام أنظمة التحقق من البرامج الثابتة غير الملائمة.
- استخدم نظام مصادقة ضعيف للجهاز.
- قم بتنزيل البيانات الوصفية من جهاز غير مصدق.
- وجود آليات لضمان التوافق مع الإصدارات السابقة ، مما يسمح باستخدام هجمات التراجع على التقنيات الضعيفة.
- استخدم معلمات التكوين من وحدة تحكم غير مصادق عليها.
- عيوب واجهة SPI Flash.
- نقص الحماية على مستوى Boot Camp.
تظهر الثغرة الأمنية على جميع الأجهزة المزودة بمنفذ Thunderbolt 1 و 2 (استنادًا إلى Mini DisplayPort) و Thunderbolt 3 (على أساس USB-C).
لا يزال من غير الواضح ما إذا كانت تظهر المشكلات على الأجهزة المزودة بـ USB 4 و Thunderbolt 4 ، حيث يتم الإعلان عن هذه التقنيات فقط ولا توجد طريقة للتحقق من تنفيذها.
لا يمكن إصلاح الثغرات الأمنية عن طريق البرامج وتتطلب معالجة مكونات الأجهزة. في الوقت نفسه ، بالنسبة لبعض الأجهزة الجديدة ، من الممكن حظر بعض المشكلات المتعلقة بـ DMA باستخدام آلية حماية DMA Kernel، الذي تم تقديم دعمه منذ عام 2019 (تم دعمه في Linux kernel منذ الإصدار 5.0 ، يمكنك التحقق من التضمين عبر /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection').
وأخيرا، لتتمكن من اختبار كل تلك الأجهزة التي يوجد فيها شك فيما إذا كانوا عرضة لهذه الثغرات الأمنية ، تم اقتراح نص برمجي يسمى "Spycheck Python"، والذي يتطلب التشغيل كجذر للوصول إلى جدول DMI و ACPI DMAR و WMI.
كتدابير لحماية الأنظمة الضعيفة ، يوصى بعدم ترك النظام دون مراقبة أو تشغيله أو في وضع الاستعدادبالإضافة إلى عدم توصيل أجهزة Thunderbolt الأخرى ، لا تترك أجهزتك أو تنقلها إلى الغرباء وكذلك توفير الحماية المادية لأجهزتك.
إلى جانب ذلك إذا لم تكن هناك حاجة لاستخدام Thunderbolt على الكمبيوتر ، فمن المستحسن تعطيل وحدة تحكم Thunderbolt في UEFI أو BIOS (على الرغم من الإشارة إلى أن منافذ USB و DisplayPort قد تصبح غير صالحة للعمل إذا تم تنفيذها من خلال وحدة تحكم Thunderbolt)
مصدر: https://blogs.intel.com