Thunderspy: una sèrie d'atacs contra equips amb Thunderbolt

fa poc es va donar a conèixer informació sobre set vulnerabilitats que afecten equips amb Thunderbolt, aquestes vulnerabilitats conegudes van ser catalogades com "Thunderspy" i amb elles un atacant pot fer ús per eludir tots els components principals garanteix la seguretat Thunderbolt.

En funció dels problemes identificats, es proposen nou escenaris d'atac que s'implementen si l'atacant té accés local a el sistema mitjançant la connexió d'un dispositiu maliciós o la manipulació de l'firmware de l'equip.

Els escenaris d'atac inclouen la capacitat de crear identificadors per a dispositius Thunderbolt arbitraris, Clonar dispositius autoritzats, accés aleatori a la memòria de el sistema a través d'DMA i anul·lar la configuració de el nivell de seguretat, inclosa la desactivació completa de tots els mecanismes de protecció, bloquejar la instal·lació d'actualitzacions de firmware i traduir la interfície a la manera Thunderbolt en sistemes limitats a l'reenviament a través d'USB o DisplayPort.

sobre Thunderbolt

Per als qui desconeixen de Thunderbolt, han de saber que aquesta is una interfície universal que serveix per connectar perifèrics que combina les interfícies PCIe (PCI Express) i DisplayPort en un sol cable. Thunderbolt va ser desenvolupat per Intel i Apple i s'usa en moltes ordinadors portàtils i PC modernes.

Els dispositius Thunderbolt basats en PCIe compten amb I / O d'accés directe a memòria, cosa que representa una amenaça d'atacs DMA per llegir i escriure tota la memòria de sistema o capturar dades de dispositius xifrats. Per evitar aquests atacs, Thunderbolt va proposar el concepte de «Nivells de seguretat», que permet l'ús de dispositius només autoritzats per l'usuari i utilitza l'autenticació criptogràfica de les connexions per protegir contra el frau d'identitat.

sobre Thunderspy

De les vulnerabilitats identificades, Aquestes fan possible el poder evitar aquest enllaç i connectar un dispositiu maliciós sota l'aparença d'un autoritzat. A més, és possible modificar el firmware i transferir SPI Flash a la manera de només lectura, que es pot utilitzar per desactivar completament els nivells de seguretat i evitar actualitzacions de firmware (s'han preparat les utilitats tcfp i spiblock per a tals manipulacions).

  • L'ús d'esquemes de verificació de firmware inadequats.
  • Fer servir un esquema d'autenticació de dispositiu feble.
  • Descarregar metadades d'un dispositiu no autenticat.
  • Existència de mecanismes per garantir la compatibilitat amb versions anteriors, permetent l'ús d'atacs de reversió en tecnologies vulnerables.
  • Utilització dels paràmetres de configuració d'un controlador no autenticat.
  • Defectes d'interfície per SCI Flash.
  • Manca de protecció en el nivell de Boot Camp.

La vulnerabilitat apareix en tots els dispositius equipats amb Thunderbolt 1 i 2 (Basat en Mini DisplayPort) i Thunderbolt 3 (Basat en USB-C).

Encara no està clar si apareixen problemes en dispositius amb USB 4 i Thunderbolt 4, ja que aquestes tecnologies només s'anuncien i no hi ha forma de verificar la seva implementació.

Les vulnerabilitats no poden ser reparades pel programari i requereixen el processament de components de maquinari. A el mateix temps, per a alguns dispositius nous, és possible bloquejar part dels problemes de DMA utilitzant el mecanisme de protecció DMA Kernel, El suport s'ha introduït des de 2019 (s'ha admès en el nucli de Linux des de la versió 5.0, pot verificar la inclusió a través de /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").

Finalment, per poder provar tots aquells dispositius en els quals es tingui dubte si són susceptibles a aquestes vulnerabilitats, es va proposar un script anomenat «Spycheck Python», Que requereix executar-se com a root per accedir a la taula DMI, ACPI DMAR i WMI.

Com a mesures per protegir els sistemes vulnerables, es recomana que no es deixi el sistema desatès, encès o en mode d'espera, A més que no connecti altres dispositius Thunderbolt, no es deixi ni transfereixi els seus dispositius a estranys ia més es brindi protecció física per als seus dispositius.

A més de que si no hi ha necessitat d'usar Thunderbolt en l'equip, es recomana desactivar el controlador Thunderbolt en UEFI o BIOS (Tot i que s'esmenta que es pot provocar la inoperància dels ports USB i DisplayPort si aquests s'implementen a través del controlador Thunderbolt).

font: https://blogs.intel.com


Sigues el primer a comentar

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.