Informació sobre en equips amb interfície Thunderbolt, units sota el nom en clau i evitar tots els components principals de seguretat de Thunderbolt. A partir dels problemes identificats, es proposen nou escenaris d'atac, implementats si l'atacant té accés local al sistema mitjançant la connexió d'un dispositiu maliciós o manipulant el firmware.
Els escenaris d'atac inclouen la possibilitat de crear identificadors de dispositius Thunderbolt arbitraris, clonar dispositius autoritzats, accedir aleatòriament a la memòria del sistema mitjançant DMA i anul·lar la configuració del nivell de seguretat, inclosa la desactivació completa de tots els mecanismes de protecció, el bloqueig de la instal·lació d'actualitzacions de microprogramari i les traduccions de la interfície al mode Thunderbolt activat. sistemes limitats al reenviament USB o DisplayPort.
Thunderbolt és una interfície universal per connectar dispositius perifèrics que combina interfícies PCIe (PCI Express) i DisplayPort en un sol cable. Thunderbolt va ser desenvolupat per Intel i Apple i s'utilitza en molts ordinadors portàtils i ordinadors moderns. Els dispositius Thunderbolt basats en PCIe es proporcionen amb E/S DMA, que suposa l'amenaça d'atacs DMA per llegir i escriure tota la memòria del sistema o capturar dades de dispositius xifrats. Per evitar aquests atacs, Thunderbolt va proposar el concepte de nivells de seguretat, que només permet l'ús de dispositius autoritzats per l'usuari i utilitza l'autenticació criptogràfica de les connexions per protegir-se de la falsificació d'ID.
Les vulnerabilitats identificades permeten evitar aquesta vinculació i connectar un dispositiu maliciós sota l'aparença d'un autoritzat. A més, és possible modificar el microprogramari i canviar SPI Flash al mode de només lectura, que es pot utilitzar per desactivar completament els nivells de seguretat i prohibir les actualitzacions de microprogramari (s'han preparat utilitats per a aquestes manipulacions). и ). En total, es va divulgar informació sobre set problemes:
- Ús d'esquemes de verificació de firmware inadequats;
- Ús d'un esquema d'autenticació de dispositiu feble;
- Carregant metadades des d'un dispositiu no autenticat;
- Disponibilitat de mecanismes de compatibilitat enrere que permeten l'ús d'atacs de retrocés ;
- Ús de paràmetres de configuració del controlador no autenticats;
- Errors a la interfície per a SPI Flash;
- Manca d'equips de protecció a nivell .
La vulnerabilitat afecta tots els dispositius equipats amb Thunderbolt 1 i 2 (basat en Mini DisplayPort) i Thunderbolt 3 (basat en USB-C). Encara no està clar si apareixen problemes en dispositius amb USB 4 i Thunderbolt 4, ja que aquestes tecnologies acaben d'anunciar-se i encara no hi ha manera de provar la seva implementació. Les vulnerabilitats no es poden eliminar amb el programari i requereixen un redisseny dels components de maquinari. Tanmateix, per a alguns dispositius nous és possible bloquejar alguns dels problemes associats amb DMA mitjançant el mecanisme , suport per al qual es va començar a implantar a partir del 2019 ( al nucli de Linux, a partir de la versió 5.0, podeu comprovar la inclusió mitjançant "/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").
Es proporciona un script Python per comprovar els vostres dispositius , que requereix executar-se com a root per accedir a DMI, a la taula ACPI DMAR i a WMI. Per protegir els sistemes vulnerables, us recomanem que no deixeu el sistema encès o en mode d'espera sense vigilància, no connecteu els dispositius Thunderbolt d'una altra persona, no deixeu ni cediu els vostres dispositius a altres persones i assegureu-vos que els vostres dispositius estiguin protegits físicament. Si no es necessita Thunderbolt, es recomana desactivar el controlador Thunderbolt a UEFI o BIOS (això pot provocar que els ports USB i DisplayPort no funcionin si s'implementen mitjançant un controlador Thunderbolt).
Font: opennet.ru