最近 有關影響 Thunderbolt 設備的七個漏洞的信息被披露, 這些已知的漏洞是 被稱為“雷霆間諜” 攻擊者可以利用它們來繞過保證 Thunderbolt 安全的所有主要組件。
根據發現的問題, 提出了九種攻擊場景 如果攻擊者通過連接惡意設備或操縱計算機固件對系統進行本地訪問,則會部署這些攻擊。
攻擊場景 包括為 Thunderbolt 設備創建標識符的能力 任意的、克隆授權設備、隨機內存訪問 通過 DMA 並覆蓋安全級別設置,包括完全禁用所有保護機制、阻止安裝固件更新以及在僅限於通過 USB 或 DisplayPort 轉發的系統上將接口轉換為 Thunderbolt 模式。
關於迅雷
對於那些不了解 Thunderbolt 的人來說,你應該知道這是這是一個通用接口 用於連接外圍設備 將 PCIe (PCI Express) 和 DisplayPort 接口結合在一根電纜中。 Thunderbolt 由英特爾和蘋果開發,用於許多現代筆記本電腦和個人電腦。
基於 PCIe 的 Thunderbolt 設備 它們具有直接內存訪問 I/O。 構成 DMA 攻擊的威脅,讀取和寫入所有系統內存或從加密設備捕獲數據。 為了防止此類攻擊, Thunderbolt提出了“安全層”的概念,僅允許使用經過用戶授權的設備 並使用加密連接身份驗證來防止身份欺詐。
關於雷霆間諜
已發現的漏洞,它們可以繞過所述鏈接並以授權設備的名義連接惡意設備。 此外,還可以修改固件並將SPI Flash轉換為只讀模式,這可用於完全禁用安全級別並防止固件更新(tcfp和spiblock實用程序已為此類操作準備好了)。
- 使用不適當的固件驗證方案。
- 使用弱設備認證方案。
- 從未經身份驗證的設備下載元數據。
- 存在確保與以前版本兼容的機制,允許對易受攻擊的技術使用回滾攻擊。
- 使用來自未經身份驗證的控制器的配置參數。
- SPI Flash 的接口缺陷。
- 缺乏訓練營級別的保護。
該漏洞出現在所有配備 Thunderbolt 1 和 2 的設備中 (基於 Mini DisplayPort) 和雷電3 (基於 USB-C)。
目前尚不清楚具有 USB 4 和 Thunderbolt 4 的設備是否會出現問題, 由於這些技術只是公佈,無法驗證其實施情況。
漏洞無法通過軟件修復 並需要對硬件部件進行加工。 同時,對於一些新設備, 使用 DMA 內核保護機制可以阻止一些 DMA 相關問題,自 2019 年開始支持(Linux 內核從 5.0 版本開始支持它,您可以通過以下方式檢查包含情況) /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection«)。
最後, 能夠測試所有這些設備 如果懷疑它們是否容易受到這些漏洞的影響, 提出了一個名為“Spycheck Python”的腳本,這需要以 root 身份運行才能訪問 DMI、ACPI DMAR 和 WMI 表。
作為保護脆弱系統的措施, 建議系統不要無人看管、開啟或處於待機模式,另外不要連接其他 Thunderbolt 設備,不要將設備留在自己身邊或將其轉讓給陌生人 並為您的設備提供物理保護。
除此之外 如果電腦不需要使用Thunderbolt,建議在UEFI或BIOS中禁用Thunderbolt驅動 (儘管有人提到,如果通過 Thunderbolt 控制器實現 USB 和 DisplayPort 端口,這些端口可能會變得無法操作)。