Thunderspy: sarja hyökkäyksiä tietokoneita vastaan ​​Thunderboltilla

äskettäin tiedot julkaistiin seitsemästä haavoittuvuudesta, jotka vaikuttavat Thunderbolt-tietokoneisiin, nämä tunnetut haavoittuvuudet olivat listattu nimellä "Thunderspy" ja heidän kanssaan hyökkääjä voi käyttää ohittamaan kaikki pääkomponentit, mikä takaa Thunderboltin turvallisuuden.

Tunnistetuista ongelmista riippuen ehdotetaan yhdeksää hyökkäysskenaariota Ne toteutetaan, jos hyökkääjällä on paikallinen pääsy järjestelmään liittämällä haitallinen laite tai manipuloimalla tietokoneen laiteohjelmistoa.

Hyökkäysskenaariot sisältää kyvyn luoda tunnisteita Thunderbolt-laitteille mielivaltainen, kloonattu valtuutetut laitteet, satunnaismuistin käyttö DMA: n kautta ja suojaustason asetusten ohittaminen, mukaan lukien kaikkien suojamekanismien poistaminen kokonaan käytöstä, laiteohjelmistopäivitysten estäminen ja käyttöliittymän kääntäminen Thunderbolt-tilaan järjestelmissä, jotka on rajoitettu USB-edelleenlähetykseen tai DisplayPort-porttiin.

Tietoja Thunderboltista

Niille, jotka eivät tunne Thunderboltia, sinun tulisi tietää, että tämä eSe on universaali käyttöliittymä käytetään liittämään oheislaitteita, jotka yhdistää PCIe (PCI Express) - ja DisplayPort-liitännät yhteen kaapeliin. Thunderboltin ovat kehittäneet Intel ja Apple, ja sitä käytetään monissa moderneissa kannettavissa tietokoneissa ja tietokoneissa.

PCIe-pohjaiset Thunderbolt-laitteet on suora pääsy muistiin I / O, DMA-hyökkäysten uhka lukea ja kirjoittaa koko järjestelmämuisti tai siepata tietoja salatuista laitteista. Tällaisten hyökkäysten välttämiseksi Thunderbolt ehdotti suojaustasojen käsitettä, joka sallii vain käyttäjän valtuuttamien laitteiden käytön ja käyttää yhteyksien salaustodennusta suojatakseen henkilöllisyyspetoksilta.

Tietoja Thunderspystä

Tunnistetuista haavoittuvuuksista, ne mahdollistavat mainitun linkin välttämisen ja haittaohjelman liittämisen valtuutetun laitteen varjolla. Lisäksi on mahdollista muokata laiteohjelmistoa ja asettaa SPI Flash vain luku -tilaan, jota voidaan käyttää poistamaan suojaustasot kokonaan käytöstä ja estämään laiteohjelmistopäivitykset (tcfp- ja spiblock-apuohjelmat on valmistettu tällaisiin käsittelyihin).

  • Sopimattomien laiteohjelmistojen tarkistusjärjestelmien käyttö.
  • Käytä heikkoa laitteen todennustapaa.
  • Lataa metatiedot tunnistamattomalta laitteelta.
  • Mekanismit, jotka takaavat yhteensopivuuden aiempien versioiden kanssa, mahdollistavat haavoittuvien tekniikoiden palauttamisen.
  • Käytä määrittämättömiä ohjaimia sisältäviä konfigurointiparametreja.
  • SPI Flash -liitännän viat.
  • Suojauksen puute Boot Camp -tasolla.

Haavoittuvuus näkyy kaikissa Thunderbolt 1- ja 2-laitteissa (perustuu Mini DisplayPort -porttiin) ja Thunderbolt 3 (perustuu USB-C: hen).

Ei ole vieläkään selvää, esiintyykö ongelmia laitteissa, joissa on USB 4 ja Thunderbolt 4, koska näitä tekniikoita mainostetaan vain eikä niiden toteutusta voida mitenkään tarkistaa.

Haavoittuvuuksia ei voida korjata ohjelmistolla ja vaativat laitteistokomponenttien käsittelyä. Samaan aikaan joillekin uusille laitteille osa DMA: n ongelmista on mahdollista estää DMA-ytimen suojausmekanismin avulla, jonka tukea on otettu käyttöön vuodesta 2019 lähtien (sitä on tuettu Linux-ytimessä versiosta 5.0 lähtien, voit tarkistaa sisällyttämisen kautta /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").

lopuksi, testata kaikkia näitä laitteita jossa epäillään, ovatko he alttiita näille haavoittuvuuksille, ehdotettiin komentosarjaa nimeltä "Spycheck Python", joka vaatii juureen pääsyn DMI-, ACPI DMAR- ja WMI-taulukoihin.

Toimenpiteinä haavoittuvien järjestelmien suojelemiseksi On suositeltavaa, että järjestelmää ei jätetä ilman valvontaa, päälle tai päälle valmiustilassaSen lisäksi, että et yhdistä muita Thunderbolt-laitteita, älä jätä tai siirrä laitteitasi muille ja myös tarjota fyysistä suojaa laitteillesi.

Sen lisäksi Jos Thunderboltia ei tarvitse käyttää tietokoneessa, on suositeltavaa poistaa Thunderbolt-ohjain käytöstä UEFI: ssä tai BIOSissa (Vaikka mainitaan, että USB- ja DisplayPort-portit saattavat muuttua toimimattomiksi, jos ne toteutetaan Thunderbolt-ohjaimen kautta).

lähde: https://blogs.intel.com


Ole ensimmäinen kommentti

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.