Inligting oor in toerusting met 'n Thunderbolt-koppelvlak, verenig onder die kodenaam en omseil alle groot Thunderbolt-sekuriteitskomponente. Op grond van die geïdentifiseerde probleme word nege aanvalscenario's voorgestel, geïmplementeer as die aanvaller plaaslike toegang tot die stelsel het deur 'n kwaadwillige toestel te koppel of die firmware te manipuleer.
Aanvalscenario's sluit die vermoë in om identifiseerders van arbitrêre Thunderbolt-toestelle te skep, gemagtigde toestelle te kloon, ewekansige toegang tot stelselgeheue via DMA en om sekuriteitsvlakinstellings te ignoreer, insluitend die heeltemal deaktiveer van alle beskermingsmeganismes, blokkering van die installering van firmware-opdaterings en koppelvlakvertalings na Thunderbolt-modus op stelsels beperk tot USB- of DisplayPort-aanstuur.
Thunderbolt is 'n universele koppelvlak vir die koppeling van randtoestelle wat PCIe (PCI Express) en DisplayPort-koppelvlakke in een kabel kombineer. Thunderbolt is deur Intel en Apple ontwikkel en word in baie moderne skootrekenaars en rekenaars gebruik. PCIe-gebaseerde Thunderbolt-toestelle word voorsien van DMA I/O, wat die bedreiging van DMA-aanvalle inhou om die hele stelselgeheue te lees en te skryf of data van geënkripteerde toestelle vas te vang. Om sulke aanvalle te voorkom, het Thunderbolt die konsep van sekuriteitsvlakke voorgestel, wat die gebruik van slegs deur gebruiker gemagtigde toestelle toelaat en kriptografiese verifikasie van verbindings gebruik om teen ID-vervalsing te beskerm.
Die geïdentifiseerde kwesbaarhede maak dit moontlik om so 'n binding te omseil en 'n kwaadwillige toestel te koppel onder die dekmantel van 'n gemagtigde een. Daarbenewens is dit moontlik om die firmware te verander en die SPI-flits na leesalleen-modus oor te skakel, wat gebruik kan word om sekuriteitsvlakke heeltemal uit te skakel en firmware-opdaterings te verbied (hulpprogramme is voorberei vir sulke manipulasies и ). In totaal is inligting oor sewe probleme bekend gemaak:
- Gebruik van onvoldoende firmware-verifikasieskemas;
- Die gebruik van 'n swak toestelverifikasieskema;
- Laai metadata vanaf 'n ongeverifieerde toestel;
- Beskikbaarheid van terugwaartse versoenbaarheidsmeganismes wat die gebruik van terugrolaanvalle op toelaat ;
- Die gebruik van ongeverifieerde kontroleerderkonfigurasieparameters;
- Foute in die koppelvlak vir SPI Flash;
- Gebrek aan beskermende toerusting op die vlak .
Die kwesbaarheid raak alle toestelle toegerus met Thunderbolt 1 en 2 (Mini DisplayPort-gebaseerd) en Thunderbolt 3 (USB-C-gegrond). Dit is nog nie duidelik of probleme in toestelle met USB 4 en Thunderbolt 4 voorkom nie, aangesien hierdie tegnologieë pas aangekondig is en daar nog geen manier is om die implementering daarvan te toets nie. Kwesbaarhede kan nie deur sagteware uitgeskakel word nie en vereis herontwerp van hardeware komponente. Vir sommige nuwe toestelle is dit egter moontlik om sommige van die probleme wat verband hou met DMA te blokkeer deur die meganisme te gebruik , waarvoor ondersteuning begin geïmplementeer is vanaf 2019 ( in die Linux-kern, vanaf vrystelling 5.0, kan u die insluiting nagaan via “/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection”).
'n Python-skrip word verskaf om jou toestelle na te gaan , wat vereis dat dit as wortel loop om toegang tot DMI, ACPI DMAR-tabel en WMI te verkry. Om kwesbare stelsels te beskerm, beveel ons aan dat jy nie die stelsel sonder toesig aan of in bystandmodus laat nie, nie iemand anders se Thunderbolt-toestelle koppel nie, nie jou toestelle los of aan ander gee nie, en verseker dat jou toestelle fisies beveilig is. As Thunderbolt nie nodig is nie, word dit aanbeveel om die Thunderbolt-beheerder in die UEFI of BIOS te deaktiveer (dit kan veroorsaak dat die USB- en DisplayPort-poorte nie werk as hulle via 'n Thunderbolt-beheerder geïmplementeer word nie).
Bron: opennet.ru