最近 有关七个漏洞的信息已发布,这些漏洞影响使用Thunderbolt的计算机, 这些已知的漏洞是 列为“雷电” 攻击者可以利用它们来绕过所有主要组件,从而确保Thunderbolt的安全性。
根据发现的问题, 提出了九种攻击方案 如果攻击者可以通过连接恶意设备或操纵计算机的固件来本地访问系统,则可以实施这些保护措施。
攻击场景 包括为Thunderbolt设备创建标识符的功能 随意的,克隆授权设备,随机存储器访问 通过DMA并覆盖安全级别设置,包括完全禁用所有保护机制,阻止固件更新的安装以及在仅限USB转发或DisplayPort的系统上将接口转换为Thunderbolt模式。
关于霹雳
对于那些不熟悉Thunderbolt的人,您应该知道这是一个通用接口 用于连接外围设备 在一根电缆中结合了PCIe(PCI Express)和DisplayPort接口。 Thunderbolt由Intel和Apple开发,并用于许多现代笔记本电脑和PC。
基于PCIe的Thunderbolt设备 具有直接的内存访问I / O, 构成DMA攻击的威胁,以读取和写入所有系统内存或从加密设备捕获数据。 为避免此类攻击, Thunderbolt提出了“安全级别”的概念,该概念允许使用仅由用户授权的设备 并使用连接的密码认证来防止身份欺诈。
关于Thunderspy
在已识别的漏洞中,这些都可以避免所述链接并以授权的名义伪装连接恶意设备。 此外,可以修改固件并将SPI Flash置于只读模式,该模式可用于完全禁用安全级别并防止固件更新(已经为此类操作准备了tcfp和spiblock实用程序)。
- 使用不合适的固件验证方案。
- 使用弱设备身份验证方案。
- 从未经身份验证的设备下载元数据。
- 存在一些机制来保证与先前版本的兼容性,从而允许对易受攻击的技术使用回滚攻击。
- 使用未经身份验证的控制器的配置参数。
- SPI Flash的接口缺陷。
- 在新兵训练营级别缺乏保护。
该漏洞出现在所有配备Thunderbolt 1和2的设备上 (基于Mini DisplayPort) 和Thunderbolt 3 (基于USB-C)。
尚不清楚USB 4和Thunderbolt 4设备是否出现问题 因为这些技术只是广告,并且无法验证其实施。
漏洞无法通过软件修复 并需要处理硬件组件。 同时,对于某些新设备, 使用DMA内核保护机制可以阻止某些与DMA相关的问题,自2019年起引入了支持(自5.0版以来,Linux内核已提供支持,您可以通过 /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection
«)。
最后, 能够测试所有这些设备 怀疑他们是否容易受到这些漏洞的影响, 提出了一个名为“ Spycheck Python”的脚本,需要以root用户身份运行才能访问DMI,ACPI DMAR和WMI表。
作为保护脆弱系统的措施, 建议不要让系统无人看管,开机或处于待机模式除了不连接其他Thunderbolt设备外,请勿离开设备或将设备转移给陌生人 并为您的设备提供物理保护。
除此之外 如果不需要在计算机上使用Thunderbolt,建议在UEFI或BIOS中禁用Thunderbolt控制器 (尽管有人提到,如果通过Thunderbolt控制器实现USB和DisplayPort端口,则它们可能会无法使用)。
数据来源: https://blogs.intel.com