Недавно была опубликована информация о семи уязвимостях, затрагивающих компьютеры с Thunderbolt, эти известные уязвимости были указан как "Thunderspy" и с ними злоумышленник может использовать для обхода всех основных компонентов, гарантирующих безопасность Thunderbolt.
В зависимости от выявленных проблем, предлагается девять сценариев атаки Они реализуются, если злоумышленник имеет локальный доступ к системе, подключив вредоносное устройство или изменив прошивку компьютера.
Сценарии атаки включить возможность создания идентификаторов для устройств Thunderbolt произвольный, клонировать авторизованные устройства, произвольный доступ к памяти через DMA и переопределение настроек уровня безопасности, включая полное отключение всех механизмов защиты, блокировку установки обновлений прошивки и перевод интерфейса в режим Thunderbolt в системах, ограниченных пересылкой USB или DisplayPort.
О Thunderbolt
Тем, кто не знаком с Thunderbolt, следует знать, что этот электронныйЭто универсальный интерфейс, который используется для подключения периферийных устройств, объединяет интерфейсы PCIe (PCI Express) и DisplayPort в одном кабеле. Thunderbolt был разработан Intel и Apple и используется во многих современных ноутбуках и ПК.
Устройства Thunderbolt на базе PCIe иметь прямой доступ к памяти ввода / вывода, создает угрозу DMA-атак для чтения и записи всей системной памяти или захвата данных с зашифрованных устройств. Чтобы избежать таких атак, Thunderbolt предложил концепцию «Уровней безопасности», которая позволяет использовать устройства только авторизованные пользователем. и использует криптографическую аутентификацию соединений для защиты от мошенничества с идентификационными данными.
О Thunderspy
Из выявленных уязвимостей, они позволяют обойти указанную ссылку и подключить вредоносное устройство под видом авторизованного. Кроме того, есть возможность модифицировать прошивку и перевести SPI Flash в режим только для чтения, который можно использовать для полного отключения уровней безопасности и предотвращения обновлений прошивки (для таких манипуляций подготовлены утилиты tcfp и spiblock).
- Использование несоответствующих схем проверки прошивки.
- Используйте слабую схему аутентификации устройства.
- Загрузите метаданные с неаутентифицированного устройства.
- Наличие механизмов, гарантирующих совместимость с предыдущими версиями, позволяющих использовать откатные атаки на уязвимые технологии.
- Используйте параметры конфигурации от неаутентифицированного контроллера.
- Дефекты интерфейса для SPI Flash.
- Отсутствие защиты на уровне Boot Camp.
Уязвимость появляется на всех устройствах с Thunderbolt 1 и 2. (на основе Mini DisplayPort) и Thunderbolt 3 (на основе USB-C).
Пока не ясно, появляются ли проблемы на устройствах с USB 4 и Thunderbolt 4, поскольку эти технологии только рекламируются и нет возможности проверить их реализацию.
Уязвимости нельзя исправить с помощью программного обеспечения и требуют обработки аппаратных компонентов. В то же время для некоторых новых устройств можно заблокировать некоторые проблемы, связанные с DMA, используя механизм защиты ядра DMA, поддержка которого введена с 2019 года (он поддерживается в ядре Linux с версии 5.0, вы можете проверить включение через /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection«).
Наконец, чтобы иметь возможность протестировать все эти устройства в которых есть сомнения, подвержены ли они этим уязвимостям, был предложен скрипт под названием "Spycheck Python", который требует запуска от имени пользователя root для доступа к таблицам DMI, ACPI DMAR и WMI.
В качестве мер по защите уязвимых систем, Рекомендуется не оставлять систему без присмотра, включать или находиться в режиме ожидания.Помимо того, что вы не подключаете другие устройства Thunderbolt, не оставляйте и не передавайте свои устройства посторонним а также обеспечить физическую защиту ваших устройств.
Кроме того если нет необходимости использовать Thunderbolt на компьютере, рекомендуется отключить контроллер Thunderbolt в UEFI или BIOS (Хотя упоминается, что порты USB и DisplayPort могут оказаться неработоспособными, если они реализованы через контроллер Thunderbolt).
источник: https://blogs.intel.com