nylig der blev afsløret oplysninger om syv sårbarheder, der påvirker udstyr med Thunderbolt, disse kendte sårbarheder var faktureret som "Thunderspy" og med dem kan en angriber gøre brug af til at omgå alle de vigtigste komponenter, der garanterer Thunderbolt-sikkerhed.
Baseret på de identificerede problemer, Der foreslås ni angrebsscenarier der implementeres, hvis angriberen har lokal adgang til systemet ved at tilslutte en ondsindet enhed eller manipulere computerens firmware.
Angrebsscenarierne inkludere muligheden for at oprette identifikatorer til Thunderbolt-enheder vilkårlig, kloning af autoriserede enheder, tilfældig hukommelsesadgang over DMA og tilsidesætte sikkerhedsniveauindstillinger, herunder fuldstændig deaktivering af alle beskyttelsesmekanismer, blokering af installation af firmwareopdateringer og oversættelse af grænsefladen til Thunderbolt-tilstand på systemer, der er begrænset til videresendelse via USB eller DisplayPort.
Om Thunderbolt
For dem, der ikke er klar over Thunderbolt, skal du vide, at dette erDet er en universel grænseflade, der bruges til at forbinde ydre enheder kombinerer PCIe (PCI Express) og DisplayPort-grænseflader i et enkelt kabel. Thunderbolt er udviklet af Intel og Apple og bruges i mange moderne bærbare computere og pc'er.
PCIe-baserede Thunderbolt-enheder De har direkte hukommelsesadgang I/O. udgør en trussel om DMA-angreb for at læse og skrive al systemhukommelse eller indfange data fra krypterede enheder. For at forhindre sådanne angreb, Thunderbolt foreslog konceptet "Security Layers", som tillader brug af enheder, der kun er godkendt af brugeren og bruger kryptografisk forbindelsesgodkendelse til at beskytte mod identitetssvig.
Om Thunderspy
Af de identificerede sårbarheder, de gør det muligt at omgå nævnte link og tilslutte en ondsindet enhed under dække af en autoriseret en. Derudover er det muligt at ændre firmwaren og overføre SPI Flash til skrivebeskyttet tilstand, som kan bruges til fuldstændigt at deaktivere sikkerhedsniveauer og forhindre firmwareopdateringer (tcfp- og spiblock-værktøjer er blevet forberedt til sådanne manipulationer).
- Brugen af upassende firmwareverifikationsskemaer.
- Brug af et svagt enhedsgodkendelsesskema.
- Download metadata fra en ikke-godkendt enhed.
- Eksistensen af mekanismer til at sikre kompatibilitet med tidligere versioner, hvilket tillader brugen af rollback-angreb på sårbare teknologier.
- Brug af konfigurationsparametre fra en ikke-godkendt controller.
- Interfacedefekter til SPI Flash.
- Manglende beskyttelse på Boot Camp-niveau.
Sårbarheden vises på alle enheder udstyret med Thunderbolt 1 og 2 (baseret på Mini DisplayPort) og Thunderbolt 3 (baseret på USB-C).
Det er endnu ikke klart, om der opstår problemer på enheder med USB 4 og Thunderbolt 4, da disse teknologier kun annonceres, og der ikke er nogen måde at verificere deres implementering på.
Sårbarheder kan ikke rettes af software og kræver behandling af hardwarekomponenter. På samme tid, for nogle nye enheder, det er muligt at blokere nogle af de DMA-relaterede problemer ved hjælp af DMA Kernel-beskyttelsesmekanismen, som har været understøttet siden 2019 (det har været understøttet i Linux-kernen siden version 5.0, kan du tjekke inklusion via /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").
Endelig for at kunne teste alle disse enheder hvor der er tvivl om, hvorvidt de er modtagelige for disse sårbarheder, et script kaldet "Spycheck Python" blev foreslået, som kræver at køre som root for at få adgang til DMI-, ACPI DMAR- og WMI-tabellen.
Som foranstaltninger til at beskytte sårbare systemer, Det anbefales, at systemet ikke efterlades uden opsyn, tændes eller er i standbytilstand, plus tilslut ikke andre Thunderbolt-enheder, efterlad ikke dine enheder hos dig selv eller overfør dem til fremmede og giver også fysisk beskyttelse til dine enheder.
udover det hvis der ikke er behov for at bruge Thunderbolt på computeren, anbefales det at deaktivere Thunderbolt-driveren i UEFI eller BIOS (selvom det nævnes, at USB- og DisplayPort-portene kan gøres ubrugelige, hvis disse implementeres gennem Thunderbolt-controlleren).
kilde: https://blogs.intel.com