informacije o u opremi sa Thunderbolt interfejsom, ujedinjenom pod kodnim imenom i zaobići sve glavne Thunderbolt sigurnosne komponente. Na osnovu identifikovanih problema, predloženo je devet scenarija napada koji se implementiraju ukoliko napadač ima lokalni pristup sistemu putem povezivanja zlonamernog uređaja ili manipulacije firmverom.
Scenariji napada uključuju mogućnost kreiranja identifikatora proizvoljnih Thunderbolt uređaja, kloniranja ovlaštenih uređaja, nasumični pristup sistemskoj memoriji putem DMA-a i nadjačavanje postavki Sigurnosnog nivoa, uključujući potpuno onemogućavanje svih zaštitnih mehanizama, blokiranje instalacije ažuriranja firmvera i prijevoda interfejsa u Thunderbolt način rada na sistemi ograničeni na USB ili DisplayPort prosljeđivanje.
Thunderbolt je univerzalni interfejs za povezivanje perifernih uređaja koji kombinuje PCIe (PCI Express) i DisplayPort interfejse u jednom kablu. Thunderbolt su razvili Intel i Apple i koristi se u mnogim modernim laptopima i PC računarima. Thunderbolt uređaji zasnovani na PCIe-u imaju DMA I/O, što predstavlja prijetnju DMA napada za čitanje i pisanje cijele sistemske memorije ili hvatanje podataka sa šifriranih uređaja. Kako bi spriječio takve napade, Thunderbolt je predložio koncept sigurnosnih razina, koji dozvoljava korištenje samo uređaja koje je ovlastio korisnik i koristi kriptografsku autentifikaciju veza za zaštitu od krivotvorenja ID-a.
Identificirane ranjivosti omogućavaju da se zaobiđe takvo vezivanje i poveže zlonamjerni uređaj pod maskom ovlaštenog. Osim toga, moguće je modificirati firmver i prebaciti SPI Flash u način rada samo za čitanje, koji se može koristiti za potpuno onemogućavanje sigurnosnih nivoa i zabranu ažuriranja firmvera (uslužni programi su pripremljeni za takve manipulacije и ). Ukupno su objelodanjene informacije o sedam problema:
- Upotreba neadekvatnih šema za verifikaciju firmvera;
- Korištenje slabe šeme provjere autentičnosti uređaja;
- Učitavanje metapodataka s neovlaštenog uređaja;
- Dostupnost mehanizama kompatibilnosti unatrag koji dopuštaju korištenje rollback napada na ;
- Korištenje parametara konfiguracije kontrolera bez autentifikacije;
- Greške u interfejsu za SPI Flash;
- Nedostatak zaštitne opreme na nivou .
Ranjivost pogađa sve uređaje opremljene Thunderbolt 1 i 2 (bazirani na Mini DisplayPort-u) i Thunderbolt 3 (bazirani na USB-C). Još nije jasno da li se problemi pojavljuju kod uređaja sa USB 4 i Thunderbolt 4, jer su ove tehnologije tek najavljene i još ne postoji način da se testira njihova implementacija. Ranjivosti se ne mogu eliminisati softverom i zahtijevaju redizajn hardverskih komponenti. Međutim, za neke nove uređaje moguće je blokirati neke od problema povezanih s DMA korištenjem mehanizma , čija je podrška počela da se sprovodi od 2019. u Linux kernelu, počevši od izdanja 5.0, možete provjeriti uključivanje putem “/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection”).
Python skripta je dostupna za provjeru vaših uređaja , što zahtijeva pokretanje kao root za pristup DMI, ACPI DMAR tablici i WMI. Da biste zaštitili ranjive sisteme, preporučujemo da ne ostavljate sistem bez nadzora uključen ili u stanju pripravnosti, da ne povezujete tuđe Thunderbolt uređaje, da ne ostavljate i ne dajete svoje uređaje drugima i da osigurate da su vaši uređaji fizički zaštićeni. Ako Thunderbolt nije potreban, preporučuje se da onemogućite Thunderbolt kontroler u UEFI ili BIOS-u (ovo može uzrokovati da USB i DisplayPort portovi ne rade ako su implementirani preko Thunderbolt kontrolera).
izvor: opennet.ru