geçenlerde Thunderbolt bulunan bilgisayarları etkileyen yedi güvenlik açığı hakkında bilgi yayınlandı, bu bilinen güvenlik açıkları "Thunderspy" olarak listelenmiştir ve onlarla birlikte bir saldırgan, tüm ana bileşenleri atlamak için faydalanabilir, Thunderbolt güvenliğini garanti eder.
Tespit edilen sorunlara bağlı olarak, dokuz saldırı senaryosu önerildi Saldırgan, kötü amaçlı bir cihaz bağlayarak veya bilgisayarın donanım yazılımını değiştirerek sisteme yerel erişime sahipse uygulanırlar.
Saldırı senaryoları Thunderbolt cihazları için tanımlayıcılar oluşturma özelliğini içerir keyfi, yetkili cihazları klonla, rastgele bellek erişimi DMA aracılığıyla ve tüm koruma mekanizmalarının tamamen devre dışı bırakılması, ürün yazılımı güncellemelerinin yüklenmesinin engellenmesi ve USB yönlendirme veya DisplayPort ile sınırlı sistemlerde arabirimin Thunderbolt moduna çevrilmesi dahil olmak üzere güvenlik düzeyi ayarlarının geçersiz kılınması.
Thunderbolt hakkında
Thunderbolt'a aşina olmayanlar için, bu eBu evrensel bir arayüz çevre birimlerini bağlamak için kullanılır. PCIe (PCI Express) ve DisplayPort arayüzlerini tek bir kabloda birleştirir. Thunderbolt, Intel ve Apple tarafından geliştirilmiştir ve birçok modern dizüstü bilgisayar ve bilgisayarda kullanılmaktadır.
PCIe tabanlı Thunderbolt cihazları doğrudan bellek erişim G / Ç'sine sahip, tüm sistem belleğini okumak ve yazmak veya şifrelenmiş cihazlardan veri almak için bir DMA saldırıları tehdidi oluşturuyor. Bu tür saldırılardan kaçınmak için, Thunderbolt, yalnızca kullanıcı tarafından yetkilendirilen cihazların kullanımına izin veren "Güvenlik Seviyeleri" konseptini önerdi ve kimlik sahtekarlığına karşı koruma sağlamak için bağlantıların kriptografik kimlik doğrulamasını kullanır.
Thunderspy hakkında
Tespit edilen güvenlik açıklarındanBunlar, söz konusu bağlantının engellenmesini ve yetkili birinin kisvesi altında kötü amaçlı bir cihazın bağlanmasını mümkün kılar.. Ek olarak, donanım yazılımını değiştirmek ve güvenlik düzeylerini tamamen devre dışı bırakmak ve ürün yazılımı güncellemelerini önlemek için kullanılabilen SPI Flash'ı salt okunur moduna geçirmek mümkündür (tcfp ve spiblock yardımcı programları bu tür manipülasyonlar için hazırlanmıştır).
- Uygun olmayan ürün yazılımı doğrulama şemalarının kullanılması.
- Zayıf bir cihaz kimlik doğrulama şeması kullanın.
- Kimliği doğrulanmamış bir cihazdan meta verileri indirin.
- Savunmasız teknolojilere yönelik geri alma saldırılarının kullanılmasına izin veren, önceki sürümlerle uyumluluğu garanti eden mekanizmaların varlığı.
- Kimliği doğrulanmamış bir denetleyiciden yapılandırma parametreleri kullanın.
- SPI Flash için arayüz hataları.
- Boot Camp düzeyinde koruma eksikliği.
Güvenlik açığı tüm Thunderbolt 1 ve 2 donanımlı cihazlarda görülür (Mini DisplayPort'a göre) ve Thunderbolt 3 (USB-C'ye göre).
USB 4 ve Thunderbolt 4'e sahip cihazlarda sorun çıkıp çıkmadığı hala net değil, çünkü bu teknolojiler yalnızca tanıtılır ve bunların uygulanmasını doğrulamanın bir yolu yoktur.
Güvenlik açıkları yazılımla düzeltilemez ve donanım bileşenlerinin işlenmesini gerektirir. Aynı zamanda bazı yeni cihazlar için DMA Kernel koruma mekanizmasını kullanarak bazı DMA ile ilgili sorunları engellemek mümkündürDesteği 2019'dan beri sunulan (5.0 sürümünden beri Linux çekirdeğinde destekleniyor, dahil edildiğini şu yolla doğrulayabilirsiniz: /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").
Son olarak, tüm bu cihazları test edebilmek için bu güvenlik açıklarına duyarlı olup olmadıklarından şüphe duyulan yerlerde, "Spycheck Python" adlı bir komut dosyası önerildi, DMI, ACPI DMAR ve WMI tablosuna erişmek için kök olarak çalıştırmayı gerektirir.
Savunmasız sistemleri korumak için önlemler olarak, Sistemin gözetimsiz bırakılmaması, açılmaması veya bekleme modunda bırakılmaması önerilir.Diğer Thunderbolt cihazlarını bağlamamanın yanı sıra, cihazlarınızı yabancılara bırakmayın veya devretmeyin. ve ayrıca cihazlarınız için fiziksel koruma sağlar.
bunun yanı sıra Bilgisayarda Thunderbolt kullanmaya gerek yoksa, UEFI veya BIOS'ta Thunderbolt denetleyicisini devre dışı bırakmanız önerilir (USB ve DisplayPort bağlantı noktalarının Thunderbolt denetleyicisi aracılığıyla uygulanmaları halinde çalışmaz duruma gelebileceklerinden bahsedilmesine rağmen).
kaynak: https://blogs.intel.com