Information om i udstyr med et Thunderbolt-interface, samlet under kodenavnet og omgå alle større Thunderbolt-sikkerhedskomponenter. Baseret på de identificerede problemer foreslås ni angrebsscenarier, implementeret, hvis angriberen har lokal adgang til systemet ved at forbinde en ondsindet enhed eller manipulere firmwaren.
Angrebsscenarier inkluderer muligheden for at oprette identifikatorer for vilkårlige Thunderbolt-enheder, klone autoriserede enheder, tilfældig adgang til systemhukommelse via DMA og tilsidesætte sikkerhedsniveauindstillinger, inklusive fuldstændig deaktivering af alle beskyttelsesmekanismer, blokering af installation af firmwareopdateringer og grænsefladeoversættelser til Thunderbolt-tilstand på systemer begrænset til USB- eller DisplayPort-videresendelse.
Thunderbolt er en universel grænseflade til tilslutning af perifere enheder, der kombinerer PCIe (PCI Express) og DisplayPort-grænseflader i ét kabel. Thunderbolt er udviklet af Intel og Apple og bruges i mange moderne bærbare computere og pc'er. PCIe-baserede Thunderbolt-enheder er forsynet med DMA I/O, som udgør en trussel om DMA-angreb for at læse og skrive hele systemhukommelsen eller fange data fra krypterede enheder. For at forhindre sådanne angreb foreslog Thunderbolt konceptet sikkerhedsniveauer, som kun tillader brug af brugerautoriserede enheder og bruger kryptografisk godkendelse af forbindelser til at beskytte mod ID-forfalskning.
De identificerede sårbarheder gør det muligt at omgå en sådan binding og tilslutte en ondsindet enhed under dække af en autoriseret en. Derudover er det muligt at ændre firmwaren og skifte SPI Flash til skrivebeskyttet tilstand, som kan bruges til fuldstændigt at deaktivere sikkerhedsniveauer og forbyde firmwareopdateringer (værktøjer er blevet forberedt til sådanne manipulationer и ). I alt blev oplysninger om syv problemer afsløret:
- Brug af utilstrækkelige firmware-verifikationsordninger;
- Brug af et svagt enhedsgodkendelsesskema;
- Indlæsning af metadata fra en ikke-godkendt enhed;
- Tilgængelighed af bagudkompatibilitetsmekanismer, der tillader brugen af rollback-angreb på ;
- Brug af uautoriserede controllerkonfigurationsparametre;
- Fejl i grænsefladen til SPI Flash;
- Mangel på værnemidler på niveau .
Sårbarheden påvirker alle enheder udstyret med Thunderbolt 1 og 2 (Mini DisplayPort-baseret) og Thunderbolt 3 (USB-C-baseret). Det er endnu ikke klart, om der opstår problemer i enheder med USB 4 og Thunderbolt 4, da disse teknologier kun lige er blevet annonceret, og der endnu ikke er nogen måde at teste deres implementering på. Sårbarheder kan ikke elimineres af software og kræver redesign af hardwarekomponenter. For nogle nye enheder er det dog muligt at blokere nogle af problemerne forbundet med DMA ved hjælp af mekanismen , hvortil støtte begyndte at blive implementeret i 2019 ( i Linux-kernen, startende med version 5.0, kan du kontrollere inkluderingen via "/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").
Et Python-script leveres til at kontrollere dine enheder , som kræver at køre som root for at få adgang til DMI, ACPI DMAR-tabel og WMI. For at beskytte sårbare systemer anbefaler vi, at du ikke efterlader systemet uden opsyn på eller i standbytilstand, ikke tilslutter andres Thunderbolt-enheder, ikke efterlader eller giver dine enheder til andre, og sikrer, at dine enheder er fysisk sikret. Hvis Thunderbolt ikke er nødvendig, anbefales det at deaktivere Thunderbolt-controlleren i UEFI eller BIOS (dette kan forårsage, at USB- og DisplayPort-portene ikke fungerer, hvis de implementeres via en Thunderbolt-controller).
Kilde: opennet.ru