Hiljuti avaldati teave seitsme haavatavuse kohta, mis mõjutavad Thunderboltiga arvuteid, need teadaolevad haavatavused olid loetletud kui "Thunderspy" ja koos nendega saab ründaja kõigist põhikomponentidest mööda hiilida, mis tagab Thunderbolti turvalisuse.
Sõltuvalt tuvastatud probleemidest pakutakse välja üheksa rünnakustsenaariumi Need rakendatakse juhul, kui ründajal on süsteemile kohalik juurdepääs, ühendades pahatahtliku seadme või manipuleerides arvuti püsivara abil.
Rünnaku stsenaariumid sisaldab võimalust luua tunnuseid Thunderbolti seadmetele meelevaldne, kloonida volitatud seadmed, juurdepääs juhuslikule mälule DMA kaudu ja turvataseme sätete alistamine, sealhulgas kõigi kaitsemehhanismide täielik keelamine, püsivara värskenduste installimise blokeerimine ja liidese tõlkimine Thunderbolt režiimi süsteemides, mis on piiratud USB edastamise või DisplayPortiga.
Thunderboltist
Neile, kes ei tunne Thunderboltit, peaksite teadma, et see eSee on universaalne liides, mis mida kasutatakse välisseadmete ühendamiseks ühendab PCIe (PCI Express) ja DisplayPort liidesed ühes kaablis. Thunderbolt töötasid välja Intel ja Apple ning seda kasutatakse paljudes kaasaegsetes sülearvutites ja arvutites.
PCIe-põhised Thunderbolti seadmed on otsene juurdepääs mälule I / O, kujutades endast DMA-rünnakute ohtu kogu süsteemimälu lugemiseks ja kirjutamiseks või krüptitud seadmetest andmete hõivamiseks. Selliste rünnakute vältimiseks Thunderbolt pakkus välja turvatasemete kontseptsiooni, mis lubab kasutada ainult kasutaja poolt lubatud seadmeid ja kasutab identiteedipettuste eest kaitsmiseks ühenduste krüptograafilist autentimist.
Thunderspy kohta
Tuvastatud haavatavustest, need võimaldavad nimetatud linki vältida ja pahatahtliku seadme ühendada volitatud seadme varjus. Lisaks on võimalik püsivara muuta ja panna SPI Flash kirjutuskaitstud režiimi, mida saab kasutada turbetasemete täielikuks keelamiseks ja püsivara värskenduste vältimiseks (tcfp ja spiblock utiliidid on selliste manipulatsioonide jaoks ette valmistatud).
- Sobimatute püsivara kontrolliskeemide kasutamine.
- Kasutage seadme nõrka autentimisskeemi.
- Laadige metaandmed alla autentimata seadmest.
- Varasemate versioonidega ühilduvuse tagamiseks mehhanismide olemasolu, mis võimaldab haavatavatele tehnoloogiatele tagasilööke kasutada.
- Kasutage autentimata kontrolleri konfiguratsiooniparameetreid.
- SPI Flashi liidese defektid.
- Boot Campi tasemel kaitse puudumine.
Haavatavus ilmneb kõigis Thunderbolt 1 ja 2 varustatud seadmetes (põhineb Mini DisplayPortil) ja Thunderbolt 3 (põhineb USB-C-l).
Pole veel selge, kas USB 4 ja Thunderbolt 4 seadmetes ilmnevad probleemid, kuna neid tehnoloogiaid reklaamitakse ainult ja nende rakendamist pole võimalik kontrollida.
Haavatavusi ei saa tarkvara abil parandada ja nõuavad riistvarakomponentide töötlemist. Samal ajal võivad mõned uued seadmed DMA tuuma kaitsemehhanismi abil on võimalik blokeerida mõned DMA-ga seotud probleemid, mille tugi on kasutusele võetud alates 2019. aastast (Linuxi kernelis on seda toetatud alates versioonist 5.0, saate kaasamist kontrollida kaudu /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").
Lõpuks kõiki neid seadmeid testida milles on kahtlusi, kas nad on vastuvõtlikud nendele haavatavustele, pakuti välja skript nimega "Spycheck Python", mis nõuab DMI-le, ACPI DMAR-ile ja WMI-le juurdepääsemiseks juurkäsuna töötamist.
Haavatavate süsteemide kaitsmise meetmetena on soovitatav, et süsteemi ei jäetaks järelevalveta, sisse lülitatud ega ooterežiimisLisaks teiste Thunderbolti seadmete ühendamata jätmisele ärge jätke ega võõrandage oma seadmeid võõrastele ning pakuvad ka teie seadmetele füüsilist kaitset.
peale selle kui arvutis pole vaja kasutada Thunderboltit, on soovitatav keelata Thunderbolti kontroller UEFI või BIOS-is (Kuigi mainitakse, et USB- ja DisplayPorti pordid võivad muutuda mittetoimivateks, kui need on rakendatud Thunderbolti kontrolleri kaudu).
allikas: https://blogs.intel.com