לאחרונה מידע פורסם על שבע נקודות תורפה המשפיעות על מחשבים עם Thunderbolt, נקודות התורפה הידועות הללו היו רשום כ- "Thunderspy" ואיתם תוקף יכול לעשות שימוש בכדי לעקוף את כל הרכיבים העיקריים המבטיח אבטחה של Thunderbolt.
בהתאם לבעיות שזוהו, מוצעים תשעה תרחישי תקיפה הם מיושמים אם לתוקף יש גישה מקומית למערכת על ידי חיבור התקן זדוני או מניפולציה של הקושחה של המחשב.
תרחישי ההתקפה כוללים את היכולת ליצור מזהים עבור מכשירי Thunderbolt שרירותי, מכשירים מורשים לשכפל, גישה אקראית לזיכרון באמצעות DMA ועקיפת הגדרות רמת האבטחה, כולל השבתה מוחלטת של כל מנגנוני ההגנה, חסימת התקנת עדכוני קושחה ותרגום הממשק למצב Thunderbolt במערכות המוגבלות להעברת USB או DisplayPort.
על Thunderbolt
למי שלא מכיר את Thunderbolt, אתה צריך לדעת שה- eזה ממשק אוניברסלי משמש לחיבור ציוד היקפי זה משלב ממשקי PCIe (PCI Express) ו- DisplayPort בכבל יחיד. Thunderbolt פותחה על ידי אינטל ואפל ומשמשת במחשבים ניידים ומחשבים מודרניים רבים.
התקני Thunderbolt מבוססי PCIe יש לי קלט / פלט גישה ישירה לזיכרון מהווה איום של התקפות DMA לקרוא ולכתוב את כל זיכרון המערכת או ללכוד נתונים מהתקנים מוצפנים. כדי למנוע התקפות כאלה, Thunderbolt הציע את הרעיון של "רמות אבטחה", המאפשר שימוש במכשירים המורשים רק על ידי המשתמש ומשתמש באימות הצפנה של קשרים להגנה מפני הונאת זהות.
על ת'נדרספי
מבין הפגיעות שזוהואלה מאפשרים להימנע מקישור זה ולחבר התקן זדוני במסווה של מורשה. בנוסף, ניתן לשנות את הקושחה ולהכניס את SPI Flash למצב לקריאה בלבד, שניתן להשתמש בו בכדי להשבית לחלוטין את רמות האבטחה ולמנוע עדכוני קושחה (כלי השירות tcfp ו- spiblock הוכנו למניפולציות כאלה).
- השימוש בתוכניות אימות קושחה בלתי הולמות.
- השתמש בתכנית אימות מכשירים חלשה.
- הורד מטא-נתונים ממכשיר לא מאומת.
- קיום מנגנונים להבטחת תאימות עם גרסאות קודמות, המאפשרים שימוש בהתקפות החזר על טכנולוגיות חלשות.
- השתמש בפרמטרים של תצורה מבקר לא מאומת.
- ליקויי ממשק עבור SPI Flash.
- חוסר הגנה ברמת Boot Camp.
הפגיעות מופיעה בכל המכשירים המצוידים ב- Thunderbolt 1 ו -2 (מבוסס על מיני DisplayPort) ו- Thunderbolt 3 (מבוסס על USB-C).
עדיין לא ברור אם מופיעים בעיות במכשירים עם USB 4 ו- Thunderbolt 4, מכיוון שטכנולוגיות אלה מתפרסמות בלבד ואין דרך לאמת את יישומן.
לא ניתן לתקן פגיעויות על ידי תוכנה ודורשים עיבוד של רכיבי חומרה. יחד עם זאת, עבור כמה מכשירים חדשים, ניתן לחסום חלק מהבעיות הקשורות ל- DMA באמצעות מנגנון ההגנה על גרעין DMA, שתמיכתו הוצגה מאז 2019 (היא נתמכת בליבת הלינוקס מאז גרסה 5.0, תוכלו לאמת את ההכללה באמצעות /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").
לבסוף, כדי להיות מסוגל לבדוק את כל המכשירים האלה שיש ספק אם הם רגישים לפגיעות אלה, הוצע סקריפט בשם "Spycheck Python", הדורש הפעלה כשורש כדי לגשת לטבלת DMI, ACPI DMAR ו- WMI.
כאמצעים להגנה על מערכות פגיעות, מומלץ שהמערכת לא תישאר ללא השגחה, מופעלת או במצב המתנה.בנוסף לאי חיבור התקני Thunderbolt אחרים, אל תשאיר או העבר את המכשירים שלך לזרים וגם לספק הגנה פיזית למכשירים שלך.
חוץ מזה אם אין צורך להשתמש ב- Thunderbolt במחשב, מומלץ להשבית את בקר ה- Thunderbolt ב- UEFI או ב- BIOS (אם כי מוזכר כי יציאות ה- USB וה- DisplayPort עשויות להיעשות פעולות אם הן מיושמות באמצעות בקר Thunderbolt).
מקור: https://blogs.intel.com