infurmazione circa in l'equipaggiu cù una interfaccia Thunderbolt, unitu sottu u nome di codice è bypassa tutti i principali cumpunenti di sicurezza Thunderbolt. Basatu nantu à i prublemi identificati, novi scenarii d'attaccu sò pruposti, implementati se l'attaccante hà accessu lucale à u sistema per cunnette un dispositivu maliziusu o manipulendu u firmware.
I scenarii d'attaccu includenu l'abilità di creà identificatori di dispositivi Thunderbolt arbitrarii, clone di dispositi autorizati, accessu aleatoriu à a memoria di u sistema via DMA è annullà i paràmetri di u Livellu di Sicurezza, cumpresu a disattivazione cumpleta di tutti i meccanismi di prutezzione, bluccà l'installazione di l'aghjurnamenti di firmware è traduzzioni di l'interfaccia à u modu Thunderbolt. sistemi limitati à l'invio USB o DisplayPort.
Thunderbolt hè una interfaccia universale per cunnette i dispositi periferici chì combina l'interfaccia PCIe (PCI Express) è DisplayPort in un cable. Thunderbolt hè statu sviluppatu da Intel è Apple è hè adupratu in parechji laptops è PC moderni. I dispositi Thunderbolt basati in PCIe sò furniti cù DMA I / O, chì pone a minaccia di attacchi DMA per leghje è scrive a memoria di u sistema interu o catturà dati da i dispositi criptati. Per prevene tali attacchi, Thunderbolt hà prupostu u cuncettu di Livelli di Sicurezza, chì permette l'usu di solu i dispositi autorizati da l'utilizatori è usa l'autentificazione criptografica di cunnessione per pruteggiri contra a falsificazione di l'ID.
E vulnerabilità identificate facenu pussibile svià un tali ubligatoriu è cunnetta un dispositivu maliziusu sottu a scusa di un autorizatu. Inoltre, hè pussibule mudificà u firmware è cambià u SPI Flash à u modu di sola lettura, chì pò esse usatu per disattivà cumplettamente i livelli di sicurezza è pruibisce l'aghjurnamenti di firmware (l'utilità sò stati preparati per tali manipulazioni). и ). In totale, l'infurmazioni nantu à sette prublemi sò stati divulgati:
- L'usu di schemi di verificazione di firmware inadegwate;
- Utilizà un schema di autentificazione di u dispositivu debule;
- Loading metadata da un dispositivu micca autenticatu;
- Disponibilità di miccanismi di cumpatibilità retrocede chì permettenu l'usu di attacchi di rollback ;
- Utilizà paràmetri di cunfigurazione di u controller micca autenticatu;
- Glitches in l'interfaccia per SPI Flash;
- Mancanza di equipaggiu di prutezzione à u livellu .
A vulnerabilità afecta tutti i dispositi equipati di Thunderbolt 1 è 2 (basatu in Mini DisplayPort) è Thunderbolt 3 (basatu in USB-C). Ùn hè ancu chjaru se i prublemi appariscenu in i dispositi cù USB 4 è Thunderbolt 4, postu chì sti tecnulugii sò appena annunziati è ùn ci hè ancu manera di pruvà a so implementazione. Vulnerabilità ùn ponu micca esse eliminate da u software è necessitanu riprogettazione di cumpunenti hardware. In ogni casu, per alcuni novi dispositi hè pussibule di bluccà alcuni di i prublemi assuciati cù DMA cù u mecanismu , supportu chì hà cuminciatu à esse implementatu à partesi da 2019 ( in u kernel Linux, cuminciendu cù a versione 5.0, pudete verificà l'inclusione via "/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").
Un script Python hè furnitu per verificà i vostri dispositi , chì richiede l'esecuzione cum'è root per accede à DMI, ACPI DMAR table è WMI. Per prutege i sistemi vulnerabili, ricumandemu chì ùn lascià micca u sistema senza vigilanza o in modalità standby, ùn cunnetta micca i dispositi Thunderbolt di qualcunu altru, ùn lasciate micca o dà i vostri dispositi à l'altri, è assicuratevi chì i vostri dispositi sò fisicimenti assicurati. Se Thunderbolt ùn hè micca necessariu, hè cunsigliatu di disattivà u controller Thunderbolt in UEFI o BIOS (questu pò causà chì i porti USB è DisplayPort ùn funziona micca s'ellu sò implementati via un controller Thunderbolt).
Source: opennet.ru