nemrég információkat adtak ki hét sebezhetőségről, amelyek a Thunderbolt számítógépeket érintik, ezek az ismert sebezhetőségek voltak "Thunderspy" néven szerepel és velük együtt a támadó felhasználhatja az összes fő komponens megkerülését, ami garantálja a Thunderbolt biztonságát.
A feltárt problémáktól függően kilenc támadási forgatókönyvet javasolnak Akkor valósulnak meg, ha a támadó rosszindulatú eszköz csatlakoztatásával vagy a számítógép firmware-jének manipulálásával helyi hozzáféréssel rendelkezik a rendszerhez.
A támadási forgatókönyvek tartalmazza a Thunderbolt-eszközök azonosítóinak létrehozásának lehetőségét tetszőleges, engedélyezett eszközök klónozása, véletlenszerű memória-hozzáférés a DMA-n keresztül és a biztonsági szint beállításainak felülbírálása, ideértve az összes védelmi mechanizmus teljes letiltását, a firmware-frissítések telepítésének blokkolását és az interfész Thunderbolt módba történő lefordítását az USB továbbításra vagy a DisplayPortra korlátozott rendszereken.
A Thunderboltról
Azok számára, akik nem ismerik a Thunderboltot, tudnia kell, hogy ez plEz egy univerzális interfész perifériák csatlakoztatásához használják a PCIe (PCI Express) és a DisplayPort interfészeket egyetlen kábelben egyesíti. A Thunderboltot az Intel és az Apple fejlesztette ki, és számos modern laptopban és PC-ben használják.
PCIe-alapú Thunderbolt eszközök közvetlen memória-hozzáféréssel rendelkezik I / O, DMA támadások fenyegetését jelentve az egész rendszermemória olvasására és írására, vagy adatok titkosított eszközökről történő rögzítésére. Az ilyen támadások elkerülése érdekében A Thunderbolt a «Biztonsági szintek» koncepcióját javasolta, amely csak a felhasználó által engedélyezett eszközök használatát teszi lehetővé és a kapcsolatok kriptográfiai hitelesítését használja az identitáscsalások elleni védelemre.
A Thunderspy-ről
A feltárt sérülékenységek közül, ezek lehetővé teszik az említett kapcsolat elkerülését és egy rosszindulatú eszköz csatlakoztatását egy engedélyezett álca alatt. Ezenkívül lehetséges a firmware módosítása és az SPI Flash csak olvasható módba állítása, amely felhasználható a biztonsági szintek teljes letiltására és a firmware frissítések megakadályozására (a tcfp és a spiblock segédprogramokat felkészítették az ilyen manipulációkra).
- Nem megfelelő firmware-ellenőrzési rendszerek használata.
- Használjon gyenge eszközhitelesítési sémát.
- Töltse le a metaadatokat egy nem hitelesített eszközről.
- Olyan mechanizmusok megléte, amelyek garantálják a kompatibilitást a korábbi verziókkal, lehetővé téve a sebezhető technológiák elleni visszalépéses támadásokat.
- Használjon hitelesítetlen vezérlő konfigurációs paramétereit.
- Interfészhibák az SPI Flash-hez.
- A Boot Camp szintjén nincs védelem.
A sérülékenység minden Thunderbolt 1 és 2 eszközön megjelenik (a Mini DisplayPort alapján) és a Thunderbolt 3 (USB-C alapján).
Továbbra sem világos, hogy az USB 4-vel és a Thunderbolt 4-vel rendelkező eszközökön jelennek-e meg problémák, mivel ezeket a technológiákat csak reklámozzák, és megvalósításuk ellenőrzésére nincs mód.
A biztonsági réseket nem lehet szoftverrel kijavítani és megkövetelik a hardverkomponensek feldolgozását. Ugyanakkor néhány új eszköz esetében a DMA kernel védelmi mechanizmusával blokkolni lehet a DMA-val kapcsolatos néhány problémát, amelynek támogatását 2019 óta vezették be (az 5.0 verzió óta támogatja a Linux kernel, a beépítést a /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").
Végül, hogy tesztelni tudja mindazokat az eszközöket amelyben kétséges, hogy hajlamosak-e ezekre a sérülékenységekre, a "Spycheck Python" nevű szkriptet javasolták, amely root felhasználóként futtatja a DMI, az ACPI DMAR és a WMI táblázat elérését.
A veszélyeztetett rendszerek védelme érdekében Javasoljuk, hogy a rendszert ne hagyják felügyelet nélkül, bekapcsolva vagy készenléti állapotbanA többi Thunderbolt eszköz csatlakoztatása mellett ne hagyja, és ne adja át eszközeit idegeneknek és fizikai védelmet is nyújt készülékei számára.
Amellett, hogy ha nincs szükség a Thunderbolt használatára a számítógépen, akkor ajánlott letiltani a Thunderbolt vezérlőt UEFI vagy BIOS rendszerben (Bár megemlítik, hogy az USB és a DisplayPort portok működésképtelenné válhatnak, ha a Thunderbolt vezérlőn keresztül valósítják meg őket).
forrás: https://blogs.intel.com