Nedávno boli zverejnené informácie o siedmich zraniteľnostiach, ktoré ovplyvňujú počítače s Thunderboltom, tieto známe chyby boli uvedený ako „Thunderspy“ a spolu s nimi môže útočník využiť obchádzanie všetkých hlavných komponentov, čo zaručuje bezpečnosť Thunderbolt.
V závislosti od zistených problémov je navrhovaných deväť scenárov útoku Implementujú sa, ak má útočník lokálny prístup do systému pripojením škodlivého zariadenia alebo manipuláciou s firmvérom počítača.
Scenáre útoku zahŕňajú schopnosť vytvárať identifikátory pre zariadenia Thunderbolt svojvoľný, klonovať autorizované zariadenia, náhodný prístup do pamäte prostredníctvom DMA a prepísaním nastavení úrovne zabezpečenia vrátane úplného deaktivovania všetkých ochranných mechanizmov, blokovania inštalácie aktualizácií firmvéru a preloženia rozhrania do režimu Thunderbolt na systémoch obmedzených na USB forwarding alebo DisplayPort.
O spoločnosti Thunderbolt
Pre tých, ktorí Thunderbolt nepoznajú, mali by ste vedieť, že to naprJe to univerzálne rozhranie slúži na pripojenie periférií, ktoré kombinuje rozhrania PCIe (PCI Express) a DisplayPort v jednom kábli. Thunderbolt vyvinuli spoločnosti Intel a Apple a používa sa v mnohých moderných prenosných počítačoch a počítačoch.
Zariadenia Thunderbolt na báze PCIe mať priamy prístup do pamäte I / O, predstavuje hrozbu útokov DMA na čítanie a zápis do celej systémovej pamäte alebo na zaznamenávanie údajov zo šifrovaných zariadení. Aby sa zabránilo takýmto útokom, Thunderbolt navrhol koncept «úrovní zabezpečenia», ktorý umožňuje používať zariadenia iba autorizované používateľom a používa kryptografickú autentifikáciu pripojení na ochranu pred podvodom s identitou.
O spoločnosti Thunderspy
Z identifikovaných zraniteľností, umožňujú vyhnúť sa uvedenému spojeniu a pripojiť škodlivé zariadenie pod zámienkou autorizovaného zariadenia. Ďalej je možné upraviť firmvér a uviesť SPI Flash do režimu iba na čítanie, ktorým je možné úplne deaktivovať úrovne zabezpečenia a zabrániť aktualizáciám firmvéru (na takéto manipulácie sú pripravené obslužné programy tcfp a spiblock).
- Používanie nevhodných schém overenia firmvéru.
- Použite slabú schému overenia zariadenia.
- Stiahnite si metadáta z neautentizovaného zariadenia.
- Existencia mechanizmov na zaručenie kompatibility s predchádzajúcimi verziami, ktorá umožňuje použitie útokov vrátenia zmien na zraniteľné technológie.
- Použite konfiguračné parametre z neautentizovaného radiča.
- Chyby rozhrania pre SPI Flash.
- Nedostatok ochrany na úrovni Boot Campu.
Zraniteľnosť sa objavuje na všetkých zariadeniach vybavených Thunderbolt 1 a 2 (založené na Mini DisplayPort) a Thunderbolt 3 (založené na USB-C).
Stále nie je jasné, či sa objavia problémy na zariadeniach s USB 4 a Thunderbolt 4, pretože tieto technológie sú iba inzerované a neexistuje spôsob, ako overiť ich implementáciu.
Zraniteľnosti nie je možné opraviť softvérom a vyžadovať spracovanie hardvérových komponentov. Zároveň pre niektoré nové zariadenia pomocou mechanizmu ochrany DMA jadra je možné blokovať niektoré problémy spojené s DMA, ktorého podpora je zavedená od roku 2019 (v jadre systému Linux je podporovaná od verzie 5.0, overenie môžete overiť pomocou /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").
konečne, aby som mohol testovať všetky tieto zariadenia existuje pochybnosť, či sú náchylné na tieto zraniteľné miesta, bol navrhnutý skript s názvom „Spycheck Python“, ktorý vyžaduje spustenie ako root na prístup k tabuľkám DMI, ACPI DMAR a WMI.
Ako opatrenia na ochranu zraniteľných systémov odporúča sa nenechávať systém bez dozoru, zapnutý alebo v pohotovostnom režimeOkrem pripojenia ďalších zariadení Thunderbolt nenechávajte svoje zariadenia ani ich neprenášajte na cudzie osoby a tiež poskytovať fyzickú ochranu vašim zariadeniam.
okrem toho ak v počítači nie je potrebné používať Thunderbolt, odporúča sa deaktivovať radič Thunderbolt v UEFI alebo BIOS (Aj keď sa uvádza, že porty USB a DisplayPort môžu byť nefunkčné, ak sú implementované prostredníctvom radiča Thunderbolt).
Fuente: https://blogs.intel.com