nylig informasjon ble gitt ut på syv sårbarheter som påvirker datamaskiner med Thunderbolt, disse kjente sårbarhetene var oppført som "Thunderspy" og med dem kan en angriper benytte seg av for å omgå alle hovedkomponentene garanterer Thunderbolt-sikkerhet.
Avhengig av de identifiserte problemene, ni angrepsscenarier er foreslått De implementeres hvis angriperen har lokal tilgang til systemet ved å koble til en ondsinnet enhet eller manipulere datamaskinens firmware.
Angrepsscenariene inkluderer muligheten til å opprette identifikatorer for Thunderbolt-enheter vilkårlig, klone autoriserte enheter, tilfeldig minnetilgang gjennom DMA og overstyrer sikkerhetsnivåinnstillingene, inkludert fullstendig deaktivering av alle beskyttelsesmekanismer, blokkering av installasjon av firmwareoppdateringer og oversettelse av grensesnittet til Thunderbolt-modus på systemer begrenset til USB-videresending eller DisplayPort.
Om Thunderbolt
For de som ikke er kjent med Thunderbolt, bør du vite at denne eDet er et universelt grensesnitt som brukes til å koble til eksterne enheter som kombinerer PCIe (PCI Express) og DisplayPort-grensesnitt i en enkelt kabel. Thunderbolt ble utviklet av Intel og Apple og brukes i mange moderne bærbare datamaskiner og PC-er.
PCIe-baserte Thunderbolt-enheter har direkte minnetilgang I / O, utgjør en trussel om DMA-angrep for å lese og skrive alt systemminne eller fange data fra krypterte enheter. For å unngå slike angrep, Thunderbolt foreslo konseptet «Security Levels», som tillater bruk av enheter som bare er autorisert av brukeren og bruker kryptografisk autentisering av forbindelser for å beskytte mot identitetssvindel.
Om Thunderspy
Av de identifiserte sårbarhetene, disse gjør det mulig å unngå nevnte lenke og koble til en ondsinnet enhet under dekke av en autorisert. I tillegg er det mulig å endre fastvaren og sette SPI Flash i skrivebeskyttet modus, som kan brukes til å fullstendig deaktivere sikkerhetsnivåer og forhindre firmwareoppdateringer (tcfp- og spiblock-verktøyene er forberedt på slike manipulasjoner).
- Bruk av upassende ordninger for fastvareverifisering.
- Bruk et system for godkjenning av svak enhet.
- Last ned metadata fra en ikke-godkjent enhet.
- Eksistens av mekanismer for å garantere kompatibilitet med tidligere versjoner, slik at bruk av tilbakefallangrep på sårbare teknologier.
- Bruk konfigurasjonsparametere fra en ikke-godkjent kontroller.
- Grensesnittfeil for SPI Flash.
- Mangel på beskyttelse på Boot Camp-nivå.
Sårbarheten vises på alle enheter som er utstyrt med Thunderbolt 1 og 2 (basert på Mini DisplayPort) og Thunderbolt 3 (basert på USB-C).
Det er fortsatt ikke klart om det vises problemer på enheter med USB 4 og Thunderbolt 4, ettersom disse teknologiene kun annonseres og det ikke er noen måte å verifisere implementeringen av.
Sårbarheter kan ikke løses av programvare og krever behandling av maskinvarekomponenter. På samme tid, for noen nye enheter, det er mulig å blokkere noen av DMA-relaterte problemer ved hjelp av DMA-kjernebeskyttelsesmekanismen, hvis støtte har blitt introdusert siden 2019 (den har blitt støttet i Linux-kjernen siden versjon 5.0, kan du bekrefte inkluderingen via /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").
Endelig, for å kunne teste alle disse enhetene der det er tvil om de er utsatt for disse sårbarhetene, et skript kalt "Spycheck Python" ble foreslått, som krever at du kjører som root for å få tilgang til DMI-, ACPI DMAR- og WMI-tabellen.
Som tiltak for å beskytte sårbare systemer, Det anbefales at systemet ikke blir satt uten tilsyn, slått på eller i standby-modusI tillegg til å ikke koble til andre Thunderbolt-enheter, må du ikke forlate eller overføre enhetene dine til fremmede og gir også fysisk beskyttelse for enhetene dine.
bortsett fra det hvis det ikke er behov for å bruke Thunderbolt på datamaskinen, anbefales det å deaktivere Thunderbolt-kontrolleren i UEFI eller BIOS (Selv om det er nevnt at USB- og DisplayPort-portene kan gjøres ubrukelige hvis de er implementert gjennom Thunderbolt-kontrolleren).
Fuente: https://blogs.intel.com