معلومات حول في المعدات ذات واجهة Thunderbolt، متحدة تحت الاسم الرمزي وتجاوز جميع مكونات أمان Thunderbolt الرئيسية. بناءً على المشكلات التي تم تحديدها، تم اقتراح تسعة سيناريوهات للهجوم، يتم تنفيذها إذا كان لدى المهاجم إمكانية الوصول المحلي إلى النظام من خلال توصيل جهاز ضار أو معالجة البرامج الثابتة.
تتضمن سيناريوهات الهجوم القدرة على إنشاء معرفات لأجهزة Thunderbolt التعسفية، واستنساخ الأجهزة المعتمدة، والوصول العشوائي إلى ذاكرة النظام عبر DMA وتجاوز إعدادات مستوى الأمان، بما في ذلك التعطيل الكامل لجميع آليات الحماية، وحظر تثبيت تحديثات البرامج الثابتة وترجمات الواجهة إلى وضع Thunderbolt على تقتصر الأنظمة على إعادة توجيه USB أو DisplayPort.
Thunderbolt هي واجهة عالمية لتوصيل الأجهزة الطرفية التي تجمع بين واجهات PCIe (PCI Express) وDisplayPort في كابل واحد. تم تطوير Thunderbolt بواسطة شركتي Intel وApple ويستخدم في العديد من أجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر الحديثة. يتم تزويد أجهزة Thunderbolt المستندة إلى PCIe بمنفذ DMA I/O، مما يشكل تهديدًا بهجمات DMA لقراءة وكتابة ذاكرة النظام بالكامل أو التقاط البيانات من الأجهزة المشفرة. ولمنع مثل هذه الهجمات، اقترح Thunderbolt مفهوم مستويات الأمان، الذي يسمح باستخدام الأجهزة المصرح بها من قبل المستخدم فقط ويستخدم مصادقة التشفير للاتصالات للحماية من تزوير الهوية.
تتيح نقاط الضعف التي تم تحديدها تجاوز هذا الارتباط وتوصيل جهاز ضار تحت ستار جهاز معتمد. بالإضافة إلى ذلك، من الممكن تعديل البرنامج الثابت وتحويل SPI Flash إلى وضع القراءة فقط، والذي يمكن استخدامه لتعطيل مستويات الأمان تمامًا وحظر تحديثات البرامج الثابتة (تم إعداد الأدوات المساعدة لمثل هذه التلاعبات и ). في المجموع، تم الكشف عن معلومات حول سبع مشاكل:
- استخدام خطط غير كافية للتحقق من البرامج الثابتة؛
- استخدام نظام مصادقة ضعيف للجهاز؛
- تحميل البيانات الوصفية من جهاز لم تتم مصادقته؛
- توفر آليات التوافق مع الإصدارات السابقة التي تسمح باستخدام هجمات التراجع ;
- استخدام معلمات تكوين وحدة تحكم غير مصادقة؛
- مواطن الخلل في واجهة SPI Flash؛
- نقص وسائل الحماية على المستوى .
تؤثر الثغرة الأمنية على جميع الأجهزة المجهزة بمنفذ Thunderbolt 1 و2 (يعتمد على Mini DisplayPort) وThunderbolt 3 (يعتمد على USB-C). ليس من الواضح بعد ما إذا كانت هناك مشاكل في الأجهزة التي تحتوي على USB 4 وThunderbolt 4، حيث تم الإعلان عن هذه التقنيات للتو ولا توجد طريقة لاختبار تنفيذها حتى الآن. لا يمكن القضاء على نقاط الضعف عن طريق البرامج وتتطلب إعادة تصميم مكونات الأجهزة. ومع ذلك، بالنسبة لبعض الأجهزة الجديدة، من الممكن حظر بعض المشكلات المرتبطة بـ DMA باستخدام الآلية والذي بدأ تنفيذ الدعم له اعتبارًا من عام 2019 ( في Linux kernel، بدءًا من الإصدار 5.0، يمكنك التحقق من التضمين عبر "/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").
يتم توفير برنامج نصي Python للتحقق من أجهزتك ، الأمر الذي يتطلب التشغيل كجذر للوصول إلى جدول DMI وACPI DMAR وWMI. لحماية الأنظمة المعرضة للخطر، نوصي بعدم ترك النظام دون مراقبة في وضع الاستعداد أو تشغيله، وعدم توصيل أجهزة Thunderbolt الخاصة بشخص آخر، وعدم ترك أجهزتك أو منحها للآخرين، والتأكد من تأمين أجهزتك فعليًا. إذا لم تكن هناك حاجة إلى Thunderbolt، فمن المستحسن تعطيل وحدة تحكم Thunderbolt في UEFI أو BIOS (قد يتسبب هذا في عدم عمل منافذ USB وDisplayPort إذا تم تنفيذها عبر وحدة تحكم Thunderbolt).
المصدر: opennet.ru