Ostatnio ujawniono informacje o siedmiu lukach, które dotyczą komputerów z Thunderbolt, tymi znanymi lukami były wymienione jako „Thunderspy” a wraz z nimi atakujący może wykorzystać do ominięcia wszystkich głównych komponentów gwarantujących bezpieczeństwo Thunderbolt.
W zależności od zidentyfikowanych problemów zaproponowano dziewięć scenariuszy ataków Są wdrażane, jeśli atakujący ma lokalny dostęp do systemu, podłączając złośliwe urządzenie lub manipulując oprogramowaniem układowym komputera.
Scenariusze ataków obejmują możliwość tworzenia identyfikatorów dla urządzeń Thunderbolt arbitralny, klonowanie autoryzowanych urządzeń, losowy dostęp do pamięci poprzez DMA i nadpisywanie ustawień poziomu bezpieczeństwa, w tym całkowite wyłączenie wszystkich mechanizmów ochrony, blokowanie instalacji aktualizacji oprogramowania układowego i translację interfejsu do trybu Thunderbolt w systemach ograniczonych do przekazywania USB lub DisplayPort.
O Thunderbolt
Dla tych, którzy nie znają Thunderbolt, powinieneś wiedzieć, że ten eTo uniwersalny interfejs używany do podłączania urządzeń peryferyjnych łączy interfejsy PCIe (PCI Express) i DisplayPort w jednym kablu. Thunderbolt został opracowany przez Intel i Apple i jest używany w wielu nowoczesnych laptopach i komputerach PC.
Urządzenia Thunderbolt oparte na PCIe mają bezpośredni dostęp do pamięci we / wy, stwarzających zagrożenie atakami DMA w celu odczytu i zapisu całej pamięci systemowej lub przechwytywania danych z zaszyfrowanych urządzeń. Aby uniknąć takich ataków, Thunderbolt zaproponował koncepcję „Poziomów bezpieczeństwa”, która pozwala na używanie urządzeń tylko autoryzowanych przez użytkownika i wykorzystuje kryptograficzne uwierzytelnianie połączeń w celu ochrony przed fałszowaniem tożsamości.
O Thunderspy
Zidentyfikowanych luk w zabezpieczeniach, umożliwiają one uniknięcie wspomnianego odsyłacza i podłączenie złośliwego urządzenia pod pozorem autoryzowanego. Ponadto możliwa jest modyfikacja oprogramowania układowego i przestawienie SPI Flash w tryb tylko do odczytu, co pozwala całkowicie wyłączyć poziomy bezpieczeństwa i uniemożliwić aktualizację oprogramowania (narzędzia tcfp i spiblock zostały przygotowane do takich manipulacji).
- Stosowanie niewłaściwych schematów weryfikacji oprogramowania.
- Użyj słabego schematu uwierzytelniania urządzenia.
- Pobierz metadane z nieuwierzytelnionego urządzenia.
- Istnienie mechanizmów gwarantujących kompatybilność z poprzednimi wersjami, umożliwiających stosowanie ataków typu rollback na podatne technologie.
- Użyj parametrów konfiguracyjnych z nieuwierzytelnionego kontrolera.
- Wady interfejsu dla SPI Flash.
- Brak ochrony na poziomie Boot Camp.
Luka występuje na wszystkich urządzeniach wyposażonych w Thunderbolt 1 i 2 (w oparciu o Mini DisplayPort) i Thunderbolt 3 (na podstawie USB-C).
Nadal nie jest jasne, czy problemy pojawiają się na urządzeniach z USB 4 i Thunderbolt 4, ponieważ technologie te są tylko reklamowane i nie ma możliwości zweryfikowania ich implementacji.
Luki w zabezpieczeniach nie mogą być naprawiane przez oprogramowanie i wymagają przetwarzania komponentów sprzętowych. Jednocześnie w przypadku niektórych nowych urządzeń możliwe jest zablokowanie niektórych problemów związanych z DMA przy użyciu mechanizmu ochrony jądra DMA, którego wsparcie zostało wprowadzone od 2019 roku (jest obsługiwane w jądrze Linuksa od wersji 5.0, włączenie można zweryfikować poprzez /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").
Wreszcie, aby móc przetestować wszystkie te urządzenia w którym istnieje wątpliwość, czy są one podatne na te luki, zaproponowano skrypt o nazwie „Spycheck Python”, co wymaga uruchomienia jako root, aby uzyskać dostęp do tabeli DMI, ACPI DMAR i WMI.
Jako środki ochrony wrażliwych systemów, Zaleca się, aby system nie był pozostawiony bez nadzoru, włączony lub w trybie czuwania.Oprócz niepodłączania innych urządzeń Thunderbolt, nie zostawiaj swoich urządzeń ani nie przekazuj ich nieznajomym a także zapewnić fizyczną ochronę swoim urządzeniom.
poza tym jeśli nie ma potrzeby korzystania z Thunderbolt na komputerze, zaleca się wyłączenie kontrolera Thunderbolt w UEFI lub BIOS (Chociaż wspomina się, że porty USB i DisplayPort mogą przestać działać, jeśli zostaną zaimplementowane za pośrednictwem kontrolera Thunderbolt).
źródło: https://blogs.intel.com