เมื่อเร็ว ๆ นี้ มีการเปิดเผยข้อมูลเกี่ยวกับช่องโหว่ XNUMX ช่องที่ส่งผลกระทบต่อคอมพิวเตอร์ที่มี Thunderbolt ช่องโหว่ที่เป็นที่รู้จักเหล่านี้คือ ระบุว่าเป็น "Thunderspy" และด้วยผู้โจมตีสามารถใช้เพื่อหลีกเลี่ยงส่วนประกอบหลักทั้งหมดที่รับประกันความปลอดภัยของ Thunderbolt
ขึ้นอยู่กับปัญหาที่ระบุ มีการเสนอสถานการณ์การโจมตีเก้าแบบ พวกเขาจะถูกนำไปใช้หากผู้โจมตีมีสิทธิ์เข้าถึงระบบภายในเครื่องโดยเชื่อมต่ออุปกรณ์ที่เป็นอันตรายหรือจัดการกับเฟิร์มแวร์ของคอมพิวเตอร์
สถานการณ์การโจมตี รวมถึงความสามารถในการสร้างตัวระบุสำหรับอุปกรณ์ Thunderbolt ตามอำเภอใจ, โคลนอุปกรณ์ที่ได้รับอนุญาต, การเข้าถึงหน่วยความจำแบบสุ่ม ผ่าน DMA และลบล้างการตั้งค่าระดับความปลอดภัยรวมถึงการปิดใช้งานกลไกการป้องกันทั้งหมดโดยสิ้นเชิงบล็อกการติดตั้งอัพเดตเฟิร์มแวร์และแปลอินเทอร์เฟซเป็นโหมด Thunderbolt บนระบบที่ จำกัด เฉพาะการส่งต่อ USB หรือ DisplayPort
เกี่ยวกับ Thunderbolt
สำหรับผู้ที่ไม่คุ้นเคยกับ Thunderbolt คุณควรทราบว่า e นี้เป็นอินเทอร์เฟซสากลที่ ใช้ในการเชื่อมต่ออุปกรณ์ต่อพ่วงที่ รวมอินเตอร์เฟส PCIe (PCI Express) และ DisplayPort ไว้ในสายเคเบิลเส้นเดียว Thunderbolt ได้รับการพัฒนาโดย Intel และ Apple และใช้ในแล็ปท็อปและพีซีสมัยใหม่หลายรุ่น
อุปกรณ์ Thunderbolt ที่ใช้ PCIe มีการเข้าถึงหน่วยความจำโดยตรง I / O ก่อให้เกิดภัยคุกคามจากการโจมตี DMA เพื่ออ่านและเขียนหน่วยความจำระบบทั้งหมดหรือดักจับข้อมูลจากอุปกรณ์ที่เข้ารหัส เพื่อหลีกเลี่ยงการโจมตีดังกล่าว Thunderbolt เสนอแนวคิด«ระดับความปลอดภัย»ซึ่งอนุญาตให้ใช้อุปกรณ์ที่ได้รับอนุญาตจากผู้ใช้เท่านั้น และใช้การตรวจสอบการเข้ารหัสลับของการเชื่อมต่อเพื่อป้องกันการฉ้อโกงข้อมูลประจำตัว
เกี่ยวกับ Thunderspy
จากช่องโหว่ที่ระบุสิ่งเหล่านี้ทำให้สามารถหลีกเลี่ยงลิงก์ดังกล่าวและเชื่อมต่ออุปกรณ์ที่เป็นอันตรายภายใต้หน้ากากของผู้ได้รับอนุญาต. นอกจากนี้ยังสามารถปรับเปลี่ยนเฟิร์มแวร์และทำให้ SPI Flash เข้าสู่โหมดอ่านอย่างเดียวซึ่งสามารถใช้เพื่อปิดใช้งานระดับความปลอดภัยอย่างสมบูรณ์และป้องกันการอัปเดตเฟิร์มแวร์ (ยูทิลิตี้ tcfp และ spiblock ได้รับการเตรียมไว้สำหรับการปรับแต่งดังกล่าว)
- การใช้แผนการตรวจสอบเฟิร์มแวร์ที่ไม่เหมาะสม
- ใช้รูปแบบการตรวจสอบอุปกรณ์ที่อ่อนแอ
- ดาวน์โหลดข้อมูลเมตาจากอุปกรณ์ที่ไม่ได้รับการรับรองความถูกต้อง
- การมีอยู่ของกลไกเพื่อรับประกันความเข้ากันได้กับเวอร์ชันก่อนหน้าทำให้สามารถใช้การโจมตีย้อนกลับในเทคโนโลยีที่มีช่องโหว่ได้
- ใช้พารามิเตอร์คอนฟิกูเรชันจากคอนโทรลเลอร์ที่ไม่ได้รับการพิสูจน์ตัวตน
- ข้อบกพร่องของอินเทอร์เฟซสำหรับ SPI Flash
- ขาดการป้องกันในระดับ Boot Camp
ช่องโหว่ดังกล่าวปรากฏบนอุปกรณ์ที่ติดตั้ง Thunderbolt 1 และ 2 ทั้งหมด (ขึ้นอยู่กับ Mini DisplayPort) และ Thunderbolt 3 (อิงตาม USB-C)
ยังไม่ชัดเจนว่าปัญหาเกิดขึ้นบนอุปกรณ์ที่มี USB 4 และ Thunderbolt 4 หรือไม่ เนื่องจากเทคโนโลยีเหล่านี้ได้รับการโฆษณาเท่านั้นและไม่มีวิธีตรวจสอบการใช้งาน
ช่องโหว่ไม่สามารถแก้ไขได้ด้วยซอฟต์แวร์ และต้องการการประมวลผลส่วนประกอบฮาร์ดแวร์ ในขณะเดียวกันสำหรับอุปกรณ์ใหม่ ๆ เป็นไปได้ที่จะบล็อกปัญหาที่เกี่ยวข้องกับ DMA โดยใช้กลไกการป้องกัน DMA Kernelซึ่งมีการสนับสนุนตั้งแต่ปี 2019 (ได้รับการสนับสนุนในเคอร์เนล Linux ตั้งแต่เวอร์ชัน 5.0 คุณสามารถตรวจสอบการรวมผ่าน /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection«)
ในที่สุด เพื่อทดสอบอุปกรณ์เหล่านั้นทั้งหมด ซึ่งมีข้อสงสัยว่าเสี่ยงต่อช่องโหว่เหล่านี้หรือไม่ มีการเสนอสคริปต์ชื่อ "Spycheck Python"ซึ่งต้องใช้การรันเป็น root เพื่อเข้าถึงตาราง DMI, ACPI DMAR และ WMI
ในฐานะมาตรการเพื่อปกป้องระบบที่มีช่องโหว่ ขอแนะนำว่าอย่าปล่อยระบบทิ้งไว้โดยไม่มีใครดูแลเปิดหรืออยู่ในโหมดสแตนด์บายนอกจากจะไม่เชื่อมต่ออุปกรณ์ Thunderbolt อื่น ๆ แล้วอย่าทิ้งหรือโอนอุปกรณ์ของคุณไปให้คนแปลกหน้า และยังให้การปกป้องทางกายภาพสำหรับอุปกรณ์ของคุณ
นอกเหนือจากนั้น หากไม่จำเป็นต้องใช้ Thunderbolt บนคอมพิวเตอร์ขอแนะนำให้ปิดใช้งานคอนโทรลเลอร์ Thunderbolt ใน UEFI หรือ BIOS (แม้ว่าจะมีการระบุว่าพอร์ต USB และ DisplayPort อาจไม่ทำงานหากใช้งานผ่านคอนโทรลเลอร์ Thunderbolt)
Fuente: https://blogs.intel.com