Nedavno objavljene su informacije o sedam ranjivosti koje utječu na računare s Thunderboltom, ove poznate ranjivosti su bile navedeno kao "Thunderspy" a s njima napadač može iskoristiti da zaobiđe sve glavne komponente garantuje Thunderbolt sigurnost.
Ovisno o utvrđenim problemima, predloženo je devet scenarija napada Primjenjuju se ako napadač ima lokalni pristup sistemu povezivanjem zlonamjernog uređaja ili manipulacijom firmware-om računara.
Scenariji napada uključuju mogućnost kreiranja identifikatora za Thunderbolt uređaje proizvoljno, kloniranje ovlaštenih uređaja, slučajni pristup memoriji kroz DMA i poništavanje postavki nivoa zaštite, uključujući potpuno onemogućavanje svih zaštitnih mehanizama, blokiranje instalacije ažuriranja firmvera i prevođenje interfejsa u Thunderbolt režim na sistemima ograničenim na USB prosljeđivanje ili DisplayPort.
O Thunderboltu
Za one koji nisu upoznati sa Thunderboltom, trebali biste znati da je ovo eTo je univerzalno sučelje koje koristi se za povezivanje perifernih uređaja koji kombinuje PCIe (PCI Express) i DisplayPort interfejse u jednom kablu. Thunderbolt su razvili Intel i Apple i koristi se u mnogim modernim prenosnim računarima.
Thunderbolt uređaji zasnovani na PCIe imaju I / O direktni pristup memoriji, predstavlja opasnost od DMA napada za čitanje i pisanje sve sistemske memorije ili za hvatanje podataka sa šifriranih uređaja. Da biste izbjegli takve napade, Thunderbolt je predložio koncept «nivoa sigurnosti», koji omogućava upotrebu uređaja koje je samo korisnik odobrio i koristi kriptografsku provjeru autentičnosti veza za zaštitu od prijevare s identitetom.
O Thunderspyu
Od identifikovanih ranjivosti, oni omogućuju izbjegavanje spomenute veze i povezivanje zlonamjernog uređaja pod krinkom ovlaštenog. Pored toga, moguće je izmijeniti firmver i staviti SPI Flash u način samo za čitanje, koji se može koristiti za potpuno onemogućavanje nivoa sigurnosti i sprječavanje ažuriranja firmvera (uslužni programi tcfp i spiblock pripremljeni su za takve manipulacije).
- Upotreba neprimjerenih shema provjere firmvera.
- Koristite slabu šemu provjere autentičnosti uređaja.
- Preuzmite metapodatke s neautentifikovanog uređaja.
- Postojanje mehanizama koji garantuju kompatibilnost sa prethodnim verzijama, omogućavajući upotrebu povratnih napada na ranjive tehnologije.
- Upotrijebite konfiguracijske parametre iz neovlaštenog kontrolera.
- Defekti na sučelju za SPI Flash.
- Nedostatak zaštite na nivou Boot Camp-a.
Ranjivost se pojavljuje na svim Thunderbolt 1 i 2 uređajima (zasnovan na Mini DisplayPort-u) i Thunderbolt 3 (zasnovan na USB-C).
Još uvijek nije jasno pojavljuju li se problemi na uređajima s USB 4 i Thunderbolt 4, jer se ove tehnologije samo reklamiraju i ne postoji način da se provjeri njihova primjena.
Softver ne može ispraviti ranjivosti i zahtijevaju obradu hardverskih komponenata. U isto vrijeme, za neke nove uređaje, moguće je blokirati neke probleme povezane s DMA-om pomoću mehanizma zaštite DMA kernela, čija je podrška uvedena od 2019. (u jezgru Linuxa podržana je od verzije 5.0, uključenje možete provjeriti putem /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").
Na kraju, kako bi mogli testirati sve te uređaje u kojima postoji sumnja da li su podložni tim ranjivostima, predložena je skripta nazvana "Spycheck Python", koji zahtijeva pokretanje kao root za pristup DMI, ACPI DMAR i WMI tablici.
Kao mjere zaštite ranjivih sistema, Preporučuje se da sistem ne ostane bez nadzora, uključen ili u stanju pripravnostiOsim što ne povezujete druge Thunderbolt uređaje, nemojte napuštati ili prenositi svoje uređaje strancima a takođe pružaju fizičku zaštitu za vaše uređaje.
pored toga ako na računaru nema potrebe za upotrebom Thunderbolta, preporučuje se onemogućavanje Thunderbolt kontrolera u UEFI ili BIOS-u (Iako se spominje da se USB i DisplayPort portovi mogu onemogućiti ako su implementirani preko Thunderbolt kontrolera).
Izvor: https://blogs.intel.com