Pred kratkim objavljene so bile informacije o sedmih ranljivostih, ki vplivajo na računalnike s Thunderboltom, te znane ranljivosti so bile navedeno kot "Thunderspy" in z njimi lahko napadalec izkoristi vse glavne komponente, ki zagotavljajo Thunderboltovo varnost.
Glede na ugotovljene težave predlaganih je devet scenarijev napada Izvedejo se, če ima napadalec lokalni dostop do sistema s povezovanjem zlonamerne naprave ali manipulacijo vdelane programske opreme računalnika.
Scenariji napada vključujejo možnost ustvarjanja identifikatorjev za naprave Thunderbolt arbitrarna, kloniranje pooblaščenih naprav, naključni dostop do pomnilnika prek DMA in preglasitev nastavitev ravni varnosti, vključno s popolnim onemogočanjem vseh zaščitnih mehanizmov, blokiranjem namestitve posodobitev vdelane programske opreme in prevajanjem vmesnika v način Thunderbolt v sistemih, ki so omejeni na posredovanje USB ali DisplayPort.
O Thunderboltu
Za tiste, ki ne poznajo Thunderbolta, morate vedeti, da je to eTo je univerzalni vmesnik uporablja za povezovanje zunanjih naprav, ki združuje vmesnike PCIe (PCI Express) in DisplayPort v enem kablu. Thunderbolt sta razvila Intel in Apple in se uporablja v številnih sodobnih prenosnikih in osebnih računalnikih.
Naprave Thunderbolt na osnovi PCIe imeti neposreden dostop do pomnilnika V / I, predstavljajo grožnjo napadov DMA za branje in pisanje celotnega sistemskega pomnilnika ali zajemanje podatkov iz šifriranih naprav. Da bi se izognili takim napadom, Thunderbolt je predlagal koncept »ravni varnosti«, ki omogoča uporabo naprav, ki jih odobri samo uporabnik in uporablja kriptografsko preverjanje pristnosti povezav za zaščito pred prevaro identitete.
O Thunderspyju
Od ugotovljenih ranljivosti, ti omogočajo izogibanje omenjeni povezavi in povezovanje zlonamerne naprave pod krinko pooblaščene. Poleg tega je mogoče spremeniti vdelano programsko opremo in vstaviti SPI Flash v način samo za branje, s katerim lahko popolnoma onemogočite ravni varnosti in preprečite posodobitve vdelane programske opreme (pripomočki tcfp in spiblock so pripravljeni za takšne manipulacije).
- Uporaba neprimernih shem za preverjanje vdelane programske opreme.
- Uporabite šibko shemo za preverjanje pristnosti naprave.
- Prenesite metapodatke iz nepotrjene naprave.
- Obstoj mehanizmov za zagotovitev združljivosti s prejšnjimi različicami, ki omogočajo uporabo povratnih napadov na ranljive tehnologije.
- Uporabite konfiguracijske parametre iz nedovoljenega krmilnika.
- Napake na vmesniku za SPI Flash.
- Pomanjkanje zaščite na ravni Boot Camp.
Ranljivost se pojavi na vseh napravah, opremljenih s Thunderbolt 1 in 2 (na osnovi Mini DisplayPort) in Thunderbolt 3 (na osnovi USB-C).
Še vedno ni jasno, ali se težave pojavijo na napravah z USB 4 in Thunderbolt 4, saj se te tehnologije oglašujejo samo in ni mogoče preveriti njihove uporabe.
Programske opreme ranljivosti ni mogoče odpraviti in zahtevajo obdelavo komponent strojne opreme. Hkrati za nekatere nove naprave nekatere težave, povezane z DMA, je mogoče blokirati z uporabo mehanizma zaščite jedra DMA, katerega podpora je bila uvedena od leta 2019 (v jedru Linuxa je podprta od različice 5.0, vključitev lahko preverite prek /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").
Končno, da bi lahko preizkusili vse te naprave pri katerih obstaja dvom, ali so dovzetni za te ranljivosti, predlagan je bil skript z imenom "Spycheck Python", ki za zagon tabele DMI, ACPI DMAR in WMI zahteva zagon kot root.
Kot ukrepi za zaščito ranljivih sistemov Priporočljivo je, da sistem ne ostane brez nadzora, vklopljen ali v stanju pripravljenostiPoleg tega, da ne povežete drugih naprav Thunderbolt, naprav ne puščajte in jih ne prenašajte tujcem in zagotavljajo tudi fizično zaščito vaših naprav.
Poleg tega če v računalniku ni treba uporabljati Thunderbolta, je priporočljivo onemogočiti krmilnik Thunderbolt v UEFI ali BIOS-u (Čeprav je omenjeno, da vrata USB in DisplayPort morda ne bodo več delovala, če se bodo izvajala prek krmilnika Thunderbolt).