nedavno objavljene su informacije o sedam ranjivosti koje utječu na računala s Thunderboltom, ove poznate ranjivosti bile su navedeno kao "Thunderspy" a s njima napadač može iskoristiti zaobilaženje svih glavnih komponenti i jamči Thunderbolt sigurnost.
Ovisno o utvrđenim problemima, predloženo je devet scenarija napada Primjenjuju se ako napadač ima lokalni pristup sustavu povezivanjem zlonamjernog uređaja ili manipuliranjem firmware-om računala.
Scenariji napada uključuju mogućnost stvaranja identifikatora za Thunderbolt uređaje proizvoljan, kloniranje ovlaštenih uređaja, slučajni pristup memoriji putem DMA-a i nadjačavanje postavki razine sigurnosti, uključujući potpuno onemogućavanje svih zaštitnih mehanizama, blokiranje instalacije ažuriranja firmvera i prevođenje sučelja u Thunderbolt način na sustavima ograničenim na USB prosljeđivanje ili DisplayPort.
O Thunderboltu
Za one koji nisu upoznati s Thunderboltom, trebali biste znati da je ovo eTo je univerzalno sučelje koje koristi se za povezivanje perifernih uređaja koji kombinira PCIe (PCI Express) i DisplayPort sučelja u jednom kabelu. Thunderbolt su razvili Intel i Apple, a koristi se u mnogim modernim prijenosnim računalima i osobnim računalima.
Thunderbolt uređaji zasnovani na PCIe imaju I / O izravni pristup memoriji, predstavlja opasnost od DMA napada za čitanje i pisanje sve memorije sustava ili za hvatanje podataka s šifriranih uređaja. Da biste izbjegli takve napade, Thunderbolt je predložio koncept «Sigurnosnih razina», koji omogućuje upotrebu uređaja koje je samo korisnik odobrio i koristi kriptografsku provjeru autentičnosti veza kako bi se zaštitio od prijevare s identitetom.
O Thunderspyu
Od utvrđenih ranjivosti, oni omogućuju izbjegavanje spomenute veze i spajanje zlonamjernog uređaja pod krinkom ovlaštenog. Osim toga, moguće je izmijeniti firmware i staviti SPI Flash u način samo za čitanje, koji se može koristiti za potpuno onemogućavanje razina sigurnosti i sprječavanje ažuriranja firmvera (uslužni programi tcfp i spiblock pripremljeni su za takve manipulacije).
- Korištenje neprimjerenih shema provjere firmvera.
- Upotrijebite slabu shemu provjere autentičnosti uređaja.
- Preuzmite metapodatke s neautoriziranog uređaja.
- Postojanje mehanizama koji jamče kompatibilnost s prethodnim verzijama, omogućujući upotrebu povratnih napada na ranjive tehnologije.
- Upotrijebite konfiguracijske parametre neautentiziranog kontrolera.
- Kvarovi na sučelju za SPI Flash.
- Nedostatak zaštite na razini Boot Camp-a.
Ranjivost se pojavljuje na svim uređajima opremljenim Thunderboltom 1 i 2 (na temelju Mini DisplayPort) i Thunderbolt 3 (na temelju USB-C).
Još uvijek nije jasno pojavljuju li se problemi na uređajima s USB 4 i Thunderbolt 4, jer se ove tehnologije samo oglašavaju i ne postoji način da se provjeri njihova primjena.
Softver ne može ispraviti ranjivosti i zahtijevaju obradu hardverskih komponenata. Istodobno, za neke nove uređaje, moguće je blokirati neke probleme povezane s DMA-om pomoću mehanizma zaštite DMA kernela, čija je podrška uvedena od 2019. (u jezgri Linuxa podržana je od verzije 5.0, uključenje možete provjeriti putem /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").
Konačno, kako bi mogli testirati sve te uređaje u kojima postoji sumnja jesu li podložni tim ranjivostima, predložena je skripta nazvana "Spycheck Python", koji zahtijeva pokretanje kao root za pristup DMI, ACPI DMAR i WMI tablici.
Kao mjere zaštite ranjivih sustava, Preporučuje se da sustav ne ostane bez nadzora, uključen ili u stanju čekanjaOsim što ne povezujete druge Thunderbolt uređaje, nemojte ostavljati ili prenositi svoje uređaje strancima a također pružaju fizičku zaštitu vaših uređaja.
osim toga ako na računalu nema potrebe za upotrebom Thunderbolta, preporučuje se onemogućavanje Thunderbolt kontrolera u UEFI ili BIOS-u (Iako se spominje da se USB i DisplayPort priključci mogu onemogućiti ako su implementirani preko Thunderbolt kontrolera).
izvor: https://blogs.intel.com