Gần đây thông tin đã được công bố về bảy lỗ hổng ảnh hưởng đến máy tính có Thunderbolt, những lỗ hổng đã biết này là được liệt kê là "Thunderspy" và với chúng, kẻ tấn công có thể sử dụng để vượt qua tất cả các thành phần chính đảm bảo tính bảo mật của Thunderbolt.
Tùy thuộc vào các vấn đề được xác định, chín kịch bản tấn công được đề xuất Chúng được thực hiện nếu kẻ tấn công có quyền truy cập cục bộ vào hệ thống bằng cách kết nối thiết bị độc hại hoặc thao tác phần sụn của máy tính.
Các tình huống tấn công bao gồm khả năng tạo số nhận dạng cho thiết bị Thunderbolt Bất kỳ, sao chép các thiết bị được ủy quyền, truy cập bộ nhớ ngẫu nhiên thông qua DMA và ghi đè cài đặt cấp độ bảo mật, bao gồm vô hiệu hóa hoàn toàn tất cả các cơ chế bảo vệ, chặn cài đặt các bản cập nhật chương trình cơ sở và dịch giao diện sang chế độ Thunderbolt trên các hệ thống giới hạn ở chuyển tiếp USB hoặc DisplayPort.
Giới thiệu về Thunderbolt
Đối với những người không quen thuộc với Thunderbolt, bạn nên biết rằng điều này đĐó là một giao diện phổ biến được sử dụng để kết nối các thiết bị ngoại vi kết hợp giao diện PCIe (PCI Express) và DisplayPort trong một cáp duy nhất. Thunderbolt được phát triển bởi Intel và Apple và được sử dụng trong nhiều máy tính xách tay và PC hiện đại.
Thiết bị Thunderbolt dựa trên PCIe có I / O truy cập bộ nhớ trực tiếp, gây ra nguy cơ tấn công DMA để đọc và ghi tất cả bộ nhớ hệ thống hoặc lấy dữ liệu từ các thiết bị được mã hóa. Để tránh những cuộc tấn công như vậy, Thunderbolt đề xuất khái niệm «Mức độ bảo mật», cho phép sử dụng các thiết bị chỉ được người dùng cho phép và sử dụng xác thực mật mã của các kết nối để bảo vệ chống lại gian lận danh tính.
Về Thunderspy
Trong số các lỗ hổng đã xác định, những điều này giúp bạn có thể tránh được liên kết nói trên và kết nối thiết bị độc hại dưới vỏ bọc của một thiết bị được ủy quyền. Ngoài ra, có thể sửa đổi chương trình cơ sở và đặt SPI Flash vào chế độ chỉ đọc, có thể được sử dụng để vô hiệu hóa hoàn toàn các cấp độ bảo mật và ngăn cập nhật chương trình cơ sở (các tiện ích tcfp và spiblock đã được chuẩn bị cho các thao tác như vậy).
- Việc sử dụng các chương trình xác minh chương trình cơ sở không phù hợp.
- Sử dụng sơ đồ xác thực thiết bị yếu.
- Tải xuống siêu dữ liệu từ một thiết bị chưa được xác thực.
- Sự tồn tại của các cơ chế đảm bảo khả năng tương thích với các phiên bản trước, cho phép sử dụng các cuộc tấn công khôi phục trên các công nghệ dễ bị tấn công.
- Sử dụng các tham số cấu hình từ bộ điều khiển chưa được xác thực.
- Lỗi giao diện cho SPI Flash.
- Thiếu sự bảo vệ ở cấp Boot Camp.
Lỗ hổng bảo mật xuất hiện trên tất cả các thiết bị được trang bị Thunderbolt 1 và 2 (dựa trên Mini DisplayPort) và Thunderbolt 3 (dựa trên USB-C).
Vẫn chưa rõ liệu sự cố có xuất hiện trên các thiết bị có USB 4 và Thunderbolt 4 hay không, vì những công nghệ này chỉ được quảng cáo và không có cách nào để xác minh việc triển khai chúng.
Các lỗ hổng không thể được sửa chữa bằng phần mềm và yêu cầu xử lý các thành phần phần cứng. Đồng thời, đối với một số thiết bị mới, có thể chặn một số sự cố liên quan đến DMA bằng cách sử dụng cơ chế bảo vệ Hạt nhân DMA, có hỗ trợ đã được giới thiệu từ năm 2019 (nó đã được hỗ trợ trong nhân Linux kể từ phiên bản 5.0, bạn có thể xác minh việc đưa vào /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").
Cuối cùng, để có thể kiểm tra tất cả các thiết bị đó trong đó nghi ngờ liệu họ có dễ bị ảnh hưởng bởi những lỗ hổng này hay không, một tập lệnh có tên "Spycheck Python" đã được đề xuất, yêu cầu chạy dưới quyền root để truy cập bảng DMI, ACPI DMAR và WMI.
Là các biện pháp để bảo vệ các hệ thống dễ bị tổn thương, khuyến nghị rằng hệ thống không được để mặc, bật hoặc ở chế độ chờNgoài việc không kết nối các thiết bị Thunderbolt khác, không để lại hoặc chuyển thiết bị của bạn cho người lạ và cũng cung cấp khả năng bảo vệ vật lý cho các thiết bị của bạn.
bên cạnh đó nếu không có nhu cầu sử dụng Thunderbolt trên máy tính, bạn nên tắt bộ điều khiển Thunderbolt trong UEFI hoặc BIOS (Mặc dù có đề cập rằng cổng USB và DisplayPort có thể không hoạt động nếu chúng được triển khai thông qua bộ điều khiển Thunderbolt).
Fuente: https://blogs.intel.com