Thunderpy: isang serye ng mga pag-atake laban sa mga computer na may Thunderbolt

Darkcrizt

4 Minutos

Kamakailan lamang ang impormasyon ay inilabas sa pitong mga kahinaan na nakakaapekto sa mga computer na may Thunderbolt, ang mga kilalang kahinaan na ito ay nakalista bilang "Thunderpy" at sa kanila ang isang magsasalakay ay maaaring gumamit ng bypass ang lahat ng mga pangunahing bahagi ginagarantiyahan ang seguridad ng Thunderbolt.

Nakasalalay sa mga problemang natukoy, siyam na senaryo ng pag-atake ang iminungkahi Ipinatupad ang mga ito kung ang mang-atake ay may lokal na pag-access sa system sa pamamagitan ng pagkonekta ng isang nakakahamak na aparato o pagmamanipula ng firmware ng computer.

Mga sitwasyon ng pag-atake isama ang kakayahang lumikha ng mga identifier para sa mga aparato ng Thunderbolt di-makatwirang, i-clone ang mga awtorisadong aparato, random na pag-access ng memorya sa pamamagitan ng DMA at pag-override ng mga setting ng antas ng seguridad, kabilang ang ganap na hindi pagpapagana ng lahat ng mga mekanismo ng proteksyon, pagharang sa pag-install ng mga pag-update ng firmware, at pagsasalin ng interface sa Thunderbolt mode sa mga system na limitado sa pagpapasa ng USB o DisplayPort.

Tungkol sa Thunderbolt

Para sa mga hindi pamilyar sa Thunderbolt, dapat mong malaman na ito eIto ay isang unibersal na interface na ginamit upang ikonekta ang mga peripheral na pinagsasama ang mga interface ng PCIe (PCI Express) at DisplayPort sa isang solong cable. Ang Thunderbolt ay binuo ng Intel at Apple at ginagamit sa maraming mga modernong laptop at PC.

Mga aparato ng Thunderbolt na nakabatay sa PCIe magkaroon ng direktang pag-access sa memorya ng I / O, posing isang banta ng pag-atake ng DMA na basahin at isulat ang lahat ng memorya ng system o makuha ang data mula sa mga naka-encrypt na aparato. Upang maiwasan ang mga naturang pag-atake, Iminungkahi ng Thunderbolt ang konsepto ng «Mga Antas ng Seguridad», na nagpapahintulot sa paggamit ng mga aparato na pinahintulutan lamang ng gumagamit at gumagamit ng cryptographic authentication ng mga koneksyon upang maprotektahan laban sa pandaraya sa pagkakakilanlan.

Tungkol kay Thunderpy

Sa mga natukoy na kahinaan, ginagawang posible ang mga ito upang maiwasan ang nasabing link at kumonekta sa isang nakakahamak na aparato sa ilalim ng pagkukunwari ng isang pinahintulutan. Bilang karagdagan, posible na baguhin ang firmware at ilagay ang SPI Flash sa read-only mode, na maaaring magamit upang ganap na hindi paganahin ang mga antas ng seguridad at maiwasan ang mga pag-update sa firmware (ang mga kagamitan sa tcfp at spiblock ay inihanda para sa mga naturang manipulasyon).

  • Ang paggamit ng hindi naaangkop na mga scheme ng pag-verify ng firmware.
  • Gumamit ng isang mahina na scheme ng pagpapatotoo ng aparato.
  • Mag-download ng metadata mula sa isang hindi napatunayan na aparato.
  • Ang pagkakaroon ng mga mekanismo upang magarantiyahan ang pagiging tugma sa mga nakaraang bersyon, na pinapayagan ang paggamit ng pag-atake ng rollback sa mga mahihinang teknolohiya.
  • Gumamit ng mga parameter ng pagsasaayos mula sa isang hindi napatunayan na taga-kontrol.
  • Mga depekto ng interface para sa SPI Flash.
  • Kakulangan ng proteksyon sa antas ng Boot Camp.

Lumilitaw ang kahinaan sa lahat ng mga aparato na may kagamitan na Thunderbolt 1 at 2 (batay sa Mini DisplayPort) at Thunderbolt 3 (batay sa USB-C).

Hindi pa rin malinaw kung ang mga problema ay lilitaw sa mga aparato na may USB 4 at Thunderbolt 4, dahil ang mga teknolohiyang ito ay na-advertise lamang at walang paraan upang mapatunayan ang kanilang pagpapatupad.

Ang mga kahinaan ay hindi maaaring maayos ng software at kinakailangan ang pagproseso ng mga bahagi ng hardware. Sa parehong oras, para sa ilang mga bagong aparato, posible na harangan ang ilan sa mga problema na nauugnay sa DMA gamit ang mekanismo ng proteksyon ng DMA Kernel, na ang suporta ay ipinakilala mula pa noong 2019 (suportado ito sa kernel ng Linux mula noong bersyon 5.0, maaari mong i-verify ang pagsasama sa pamamagitan ng /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").

Sa wakas, upang masubukan ang lahat ng mga aparatong iyon kung saan may pagdududa kung sila ay madaling kapitan sa mga kahinaan na ito, isang script na tinawag na "Spycheck Python" ay iminungkahi, na nangangailangan ng pagtakbo bilang ugat upang ma-access ang talahanayan ng DMI, ACPI DMAR, at WMI.

Bilang mga hakbang upang maprotektahan ang mga mahina na sistema, Inirerekumenda na ang sistema ay hindi iwanang walang nag-aalaga, naka-on o sa standby modeBilang karagdagan sa hindi pagkonekta sa iba pang mga aparato ng Thunderbolt, huwag iwanan o ilipat ang iyong mga aparato sa mga hindi kilalang tao at nagbibigay din ng pisikal na proteksyon para sa iyong mga aparato.

Bukod doon kung hindi na kailangang gumamit ng Thunderbolt sa computer, inirerekumenda na huwag paganahin ang Thunderbolt controller sa UEFI o BIOS (Bagaman nabanggit na ang mga port ng USB at DisplayPort ay maaaring mai-render na hindi gumana kung ipinatupad sa pamamagitan ng Thunderbolt controller).

Fuente: https://blogs.intel.com


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: AB Internet Networks 2008 SL
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.