Information über in Geräten mit Thunderbolt-Schnittstelle, vereint unter dem Codenamen und alle wichtigen Thunderbolt-Sicherheitskomponenten umgehen. Basierend auf den identifizierten Problemen werden neun Angriffsszenarien vorgeschlagen, die umgesetzt werden, wenn der Angreifer lokalen Zugriff auf das System erhält, indem er ein Schadgerät anschließt oder die Firmware manipuliert.
Zu den Angriffsszenarien gehört die Möglichkeit, Identifikatoren für beliebige Thunderbolt-Geräte zu erstellen, autorisierte Geräte zu klonen, über DMA wahlfrei auf den Systemspeicher zuzugreifen und Sicherheitsstufeneinstellungen außer Kraft zu setzen, einschließlich der vollständigen Deaktivierung aller Schutzmechanismen, der Blockierung der Installation von Firmware-Updates und der Schnittstellenübersetzung in den Thunderbolt-Modus Systeme, die auf die Weiterleitung über USB oder DisplayPort beschränkt sind.
Thunderbolt ist eine universelle Schnittstelle zum Anschluss von Peripheriegeräten, die PCIe- (PCI Express) und DisplayPort-Schnittstellen in einem Kabel vereint. Thunderbolt wurde von Intel und Apple entwickelt und wird in vielen modernen Laptops und PCs verwendet. PCIe-basierte Thunderbolt-Geräte sind mit DMA-I/O ausgestattet, was die Gefahr von DMA-Angriffen birgt, um den gesamten Systemspeicher zu lesen und zu schreiben oder Daten von verschlüsselten Geräten zu erfassen. Um solche Angriffe zu verhindern, schlug Thunderbolt das Konzept der Sicherheitsstufen vor, das die Verwendung nur benutzerautorisierter Geräte zulässt und kryptografische Authentifizierung von Verbindungen zum Schutz vor ID-Fälschungen verwendet.
Die identifizierten Schwachstellen ermöglichen es, eine solche Bindung zu umgehen und ein bösartiges Gerät unter dem Deckmantel eines autorisierten Geräts anzuschließen. Darüber hinaus besteht die Möglichkeit, die Firmware zu ändern und den SPI-Flash in den Nur-Lese-Modus zu schalten, wodurch Sicherheitsstufen vollständig deaktiviert und Firmware-Updates verhindert werden können (für solche Manipulationen wurden Dienstprogramme vorbereitet). и ). Insgesamt wurden Informationen zu sieben Problemen offengelegt:
- Verwendung unzureichender Firmware-Verifizierungsschemata;
- Verwendung eines schwachen Geräteauthentifizierungsschemas;
- Laden von Metadaten von einem nicht authentifizierten Gerät;
- Verfügbarkeit von Abwärtskompatibilitätsmechanismen, die den Einsatz von Rollback-Angriffen ermöglichen ;
- Verwendung nicht authentifizierter Controller-Konfigurationsparameter;
- Störungen in der Schnittstelle für SPI Flash;
- Mangel an Schutzausrüstung auf der Ebene .
Die Sicherheitslücke betrifft alle Geräte, die mit Thunderbolt 1 und 2 (Mini DisplayPort-basiert) und Thunderbolt 3 (USB-C-basiert) ausgestattet sind. Es ist noch nicht klar, ob bei Geräten mit USB 4 und Thunderbolt 4 Probleme auftreten, da diese Technologien gerade erst angekündigt wurden und es noch keine Möglichkeit gibt, ihre Umsetzung zu testen. Schwachstellen können nicht durch Software beseitigt werden und erfordern eine Neugestaltung der Hardwarekomponenten. Bei einigen neuen Geräten ist es jedoch möglich, einige der mit DMA verbundenen Probleme mithilfe des Mechanismus zu blockieren , dessen Unterstützung ab 2019 umgesetzt wurde ( Im Linux-Kernel können Sie ab Release 5.0 die Einbindung über „/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection“ überprüfen.
Zur Überprüfung Ihrer Geräte wird ein Python-Skript bereitgestellt , was die Ausführung als Root erfordert, um auf DMI, ACPI DMAR-Tabelle und WMI zuzugreifen. Um anfällige Systeme zu schützen, empfehlen wir Ihnen, das System nicht unbeaufsichtigt im oder im Standby-Modus zu lassen, keine Thunderbolt-Geräte anderer anzuschließen, Ihre Geräte nicht anderen zu überlassen oder weiterzugeben und sicherzustellen, dass Ihre Geräte physisch gesichert sind. Wenn Thunderbolt nicht benötigt wird, empfiehlt es sich, den Thunderbolt-Controller im UEFI oder BIOS zu deaktivieren (dies kann dazu führen, dass die USB- und DisplayPort-Anschlüsse nicht funktionieren, wenn sie über einen Thunderbolt-Controller implementiert werden).
Source: opennet.ru