наскоро беше публикувана информация за седем уязвимости, които засягат компютри с Thunderbolt, тези известни уязвимости бяха посочен като "Thunderspy" и с тях нападателят може да се възползва, за да заобиколи всички основни компоненти, гарантиращи сигурността на Thunderbolt.
В зависимост от идентифицираните проблеми, предложени са девет сценария за атака Те се прилагат, ако нападателят има локален достъп до системата чрез свързване на злонамерено устройство или манипулиране на фърмуера на компютъра.
Сценарии за атака включват възможността за създаване на идентификатори за Thunderbolt устройства произволен, клонирайте упълномощени устройства, произволен достъп до паметта чрез DMA и заменяне на настройките за ниво на защита, включително напълно деактивиране на всички защитни механизми, блокиране на инсталирането на актуализации на фърмуера и превеждане на интерфейса в режим Thunderbolt на системи, ограничени до USB препращане или DisplayPort.
За Thunderbolt
За тези, които не са запознати с Thunderbolt, трябва да знаете, че това еТова е универсален интерфейс, който използва се за свързване на периферни устройства, които комбинира интерфейси PCIe (PCI Express) и DisplayPort в един кабел. Thunderbolt е разработен от Intel и Apple и се използва в много съвременни лаптопи и компютри.
Базирани на PCIe устройства Thunderbolt имат директен достъп до паметта I / O, създава заплаха от DMA атаки за четене и запис на цялата системна памет или за улавяне на данни от криптирани устройства. За да избегнете подобни атаки, Thunderbolt предложи концепцията за «Нива на сигурност», която позволява използването на устройства, разрешени само от потребителя и използва криптографско удостоверяване на връзките, за да се предпази от измами с идентичност.
За Thunderspy
От идентифицираните уязвимости, те дават възможност да се избегне споменатата връзка и да се свърже злонамерено устройство под прикритието на оторизиран. Освен това е възможно да се модифицира фърмуерът и да се постави SPI Flash в режим само за четене, който може да се използва за пълно деактивиране на нивата на защита и предотвратяване на актуализации на фърмуера (помощните програми tcfp и spiblock са подготвени за такива манипулации).
- Използването на неподходящи схеми за проверка на фърмуера.
- Използвайте слаба схема за удостоверяване на устройството.
- Изтеглете метаданни от неудостоверено устройство.
- Наличие на механизми за гарантиране на съвместимост с предишни версии, позволяващи използването на атаки за отмяна на уязвими технологии.
- Използвайте конфигурационни параметри от неудостоверен контролер.
- Интерфейсни дефекти за SPI Flash.
- Липса на защита на ниво Boot Camp.
Уязвимостта се появява на всички устройства, оборудвани с Thunderbolt 1 и 2 (въз основа на Mini DisplayPort) и Thunderbolt 3 (на базата на USB-C).
Все още не е ясно дали проблемите се появяват на устройства с USB 4 и Thunderbolt 4, тъй като тези технологии се рекламират само и няма начин да се провери тяхното прилагане.
Уязвимостите не могат да бъдат отстранени от софтуера и изискват обработката на хардуерни компоненти. В същото време за някои нови устройства, възможно е да се блокират някои от свързаните с DMA проблеми, като се използва механизмът за защита на DMA ядрото, чиято поддръжка е въведена от 2019 г. (поддържа се в ядрото на Linux от версия 5.0, можете да проверите включването чрез /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").
И накрая, за да можете да тествате всички тези устройства при които има съмнение дали са податливи на тези уязвимости, бе предложен скрипт, наречен "Spycheck Python", което изисква стартиране като root за достъп до таблицата DMI, ACPI DMAR и WMI.
Като мерки за защита на уязвимите системи, препоръчително е системата да не бъде оставена без надзор, включена или в режим на готовностОсвен че не свързвате други Thunderbolt устройства, не оставяйте и не прехвърляйте устройствата си на непознати и също така осигуряват физическа защита на вашите устройства.
Освен, че ако няма нужда да използвате Thunderbolt на компютъра, препоръчително е да деактивирате контролера Thunderbolt в UEFI или BIOS (Въпреки че се споменава, че USB и DisplayPort портовете могат да се окажат неработещи, ако са внедрени чрез контролера Thunderbolt).
Fuente: https://blogs.intel.com