Thunderspy: satu siri serangan terhadap komputer dengan Thunderbolt

Darkcrizt

Minit 4

Baru-baru ini maklumat dikeluarkan mengenai tujuh kelemahan yang mempengaruhi komputer dengan Thunderbolt, kelemahan yang diketahui adalah disenaraikan sebagai "Thunderspy" dan dengan mereka penyerang dapat memanfaatkan untuk memintas semua komponen utama yang menjamin keselamatan Thunderbolt.

Bergantung pada masalah yang dikenal pasti, sembilan senario serangan dicadangkan Mereka dilaksanakan jika penyerang mempunyai akses tempatan ke sistem dengan menyambungkan peranti jahat atau memanipulasi firmware komputer.

Senario serangan termasuk keupayaan untuk membuat pengecam untuk peranti Thunderbolt sewenang-wenangnya, klon peranti yang dibenarkan, akses memori rawak melalui DMA dan mengatasi tetapan tahap keselamatan, termasuk mematikan sepenuhnya semua mekanisme perlindungan, menyekat pemasangan kemas kini firmware, dan menerjemahkan antara muka ke mod Thunderbolt pada sistem yang terhad kepada pemajuan USB atau DisplayPort.

Mengenai Thunderbolt

Bagi mereka yang tidak biasa dengan Thunderbolt, anda harus mengetahui bahawa ini eIni antara muka sejagat yang digunakan untuk menghubungkan periferal yang menggabungkan antara muka PCIe (PCI Express) dan DisplayPort dalam satu kabel. Thunderbolt dikembangkan oleh Intel dan Apple dan digunakan di banyak komputer riba dan PC moden.

Peranti Thunderbolt berasaskan PCIe mempunyai akses ingatan langsung I / O, menimbulkan ancaman serangan DMA untuk membaca dan menulis semua memori sistem atau menangkap data dari peranti yang disulitkan. Untuk mengelakkan serangan seperti itu, Thunderbolt mencadangkan konsep «Tahap Keselamatan», yang membenarkan penggunaan peranti yang hanya dibenarkan oleh pengguna dan menggunakan pengesahan kriptografi sambungan untuk melindungi daripada penipuan identiti.

Mengenai Thunderspy

Kerentanan yang dikenal pasti, ini memungkinkan untuk mengelakkan pautan yang disebutkan dan menyambungkan peranti jahat di bawah kedok yang dibenarkan. Selain itu, adalah mungkin untuk memodifikasi firmware dan memasukkan SPI Flash ke mod baca sahaja, yang dapat digunakan untuk mematikan tahap keselamatan sepenuhnya dan mencegah kemas kini firmware (utiliti tcfp dan spiblock telah disiapkan untuk manipulasi tersebut).

  • Penggunaan skema pengesahan firmware yang tidak sesuai.
  • Gunakan skema pengesahan peranti yang lemah.
  • Muat turun metadata dari peranti yang tidak disahkan.
  • Terdapat mekanisme untuk menjamin keserasian dengan versi sebelumnya, yang memungkinkan penggunaan rollback serangan terhadap teknologi yang rentan.
  • Gunakan parameter konfigurasi dari pengawal yang tidak disahkan.
  • Kecacatan antara muka untuk SPI Flash.
  • Kekurangan perlindungan di peringkat Boot Camp.

Kerentanan muncul pada semua peranti yang dilengkapi Thunderbolt 1 dan 2 (berdasarkan Mini DisplayPort) dan Thunderbolt 3 (berdasarkan USB-C).

Masih belum jelas apakah masalah muncul pada peranti dengan USB 4 dan Thunderbolt 4, kerana teknologi ini hanya diiklankan dan tidak ada cara untuk mengesahkan pelaksanaannya.

Kerentanan tidak dapat diperbaiki oleh perisian dan memerlukan pemprosesan komponen perkakasan. Pada masa yang sama, untuk beberapa peranti baru, adalah mungkin untuk menyekat beberapa masalah yang berkaitan dengan DMA menggunakan mekanisme perlindungan DMA Kernel, yang dukungannya telah diperkenalkan sejak 2019 (telah didukung dalam kernel Linux sejak versi 5.0, Anda dapat mengesahkan penyertaan melalui /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").

Akhirnya, untuk dapat menguji semua peranti tersebut di mana terdapat keraguan sama ada mereka terdedah kepada kerentanan ini, skrip yang disebut "Spycheck Python" dicadangkan, yang memerlukan berjalan sebagai root untuk mengakses jadual DMI, ACPI DMAR, dan WMI.

Sebagai langkah untuk melindungi sistem yang rentan, Sebaiknya sistem tidak dibiarkan tanpa pengawasan, dihidupkan atau dalam mod siap sediaSelain tidak menyambungkan peranti Thunderbolt lain, jangan tinggalkan atau pindahkan peranti anda kepada orang yang tidak dikenali dan juga memberikan perlindungan fizikal untuk peranti anda.

selain itu jika tidak perlu menggunakan Thunderbolt pada komputer, disarankan untuk mematikan pengawal Thunderbolt di UEFI atau BIOS (Walaupun disebutkan bahawa port USB dan DisplayPort mungkin tidak berfungsi jika ia dilaksanakan melalui pengawal Thunderbolt).

Fuente: https://blogs.intel.com


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab untuk data: AB Internet Networks 2008 SL
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.