Thunderspy: une série d'attaques contre des ordinateurs avec Thunderbolt

Darkcrizt

Minutes 4

Récemment des informations ont été publiées sur sept vulnérabilités affectant les ordinateurs équipés de Thunderbolt, ces vulnérabilités connues étaient répertorié comme "Thunderspy" et avec eux, un attaquant peut utiliser pour contourner tous les principaux composants garantissant la sécurité Thunderbolt.

En fonction des problèmes identifiés, neuf scénarios d'attaque sont proposés Ils sont mis en œuvre si l'attaquant a un accès local au système en connectant un appareil malveillant ou en manipulant le firmware de l'ordinateur.

Les scénarios d'attaque inclure la possibilité de créer des identifiants pour les appareils Thunderbolt arbitraire, cloner des appareils autorisés, accès mémoire aléatoire via DMA et outrepasser les paramètres de niveau de sécurité, y compris la désactivation complète de tous les mécanismes de protection, le blocage de l'installation des mises à jour du micrologiciel et la conversion de l'interface en mode Thunderbolt sur les systèmes limités au transfert USB ou DisplayPort.

À propos de Thunderbolt

Pour ceux qui ne connaissent pas Thunderbolt, sachez que ce eC'est une interface universelle qui utilisé pour connecter des périphériques combine les interfaces PCIe (PCI Express) et DisplayPort dans un seul câble. Thunderbolt a été développé par Intel et Apple et est utilisé dans de nombreux ordinateurs portables et PC modernes.

Périphériques Thunderbolt basés sur PCIe avoir accès direct à la mémoire E / S, posant une menace d'attaques DMA pour lire et écrire toute la mémoire système ou capturer des données à partir d'appareils cryptés. Pour éviter de telles attaques, Thunderbolt a proposé le concept de «niveaux de sécurité», qui permet l'utilisation d'appareils uniquement autorisés par l'utilisateur et utilise l'authentification cryptographique des connexions pour se protéger contre la fraude d'identité.

À propos de Thunderspy

Des vulnérabilités identifiées, ceux-ci permettent d'éviter ledit lien et de connecter un appareil malveillant sous le couvert d'un appareil autorisé. De plus, il est possible de modifier le micrologiciel et de mettre SPI Flash en mode lecture seule, ce qui peut être utilisé pour désactiver complètement les niveaux de sécurité et empêcher les mises à jour du micrologiciel (les utilitaires tcfp et spiblock ont ​​été préparés pour de telles manipulations).

  • L'utilisation de schémas de vérification de micrologiciel inappropriés.
  • Utilisez un schéma d'authentification de périphérique faible.
  • Téléchargez des métadonnées à partir d'un appareil non authentifié.
  • Existence de mécanismes garantissant la compatibilité avec les versions précédentes, permettant l'utilisation d'attaques de retour arrière sur des technologies vulnérables.
  • Utilisez les paramètres de configuration d'un contrôleur non authentifié.
  • Défauts d'interface pour SPI Flash.
  • Manque de protection au niveau du Boot Camp.

La vulnérabilité apparaît sur tous les appareils équipés de Thunderbolt 1 et 2 (basé sur Mini DisplayPort) et Thunderbolt 3 (basé sur USB-C).

Il n'est toujours pas clair si des problèmes apparaissent sur les appareils avec USB 4 et Thunderbolt 4, car ces technologies sont uniquement annoncées et il n'y a aucun moyen de vérifier leur mise en œuvre.

Les vulnérabilités ne peuvent pas être corrigées par un logiciel et nécessitent le traitement de composants matériels. En même temps, pour certains nouveaux appareils, il est possible de bloquer certains des problèmes liés à DMA à l'aide du mécanisme de protection du noyau DMA, dont le support a été introduit depuis 2019 (il est supporté dans le noyau Linux depuis la version 5.0, vous pouvez vérifier l'inclusion via /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").

Enfin, pour pouvoir tester tous ces appareils dans lequel il existe un doute sur leur sensibilité à ces vulnérabilités, un script appelé "Spycheck Python" a été proposé, qui nécessite une exécution en tant que root pour accéder aux tables DMI, ACPI DMAR et WMI.

En tant que mesures de protection des systèmes vulnérables, Il est recommandé de ne pas laisser le système sans surveillance, sous tension ou en mode veilleEn plus de connecter d'autres appareils Thunderbolt, ne laissez pas et ne transférez pas vos appareils à des inconnus et fournissez également une protection physique à vos appareils.

En plus que s'il n'est pas nécessaire d'utiliser Thunderbolt sur l'ordinateur, il est recommandé de désactiver le contrôleur Thunderbolt dans UEFI ou BIOS (Bien qu'il soit mentionné que les ports USB et DisplayPort peuvent être rendus inopérants s'ils sont implémentés via le contrôleur Thunderbolt).

source: https://blogs.intel.com


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.