informoj pri en ekipaĵo kun Thunderbolt-interfaco, kunigita sub la kodnomo kaj preteriri ĉiujn ĉefajn sekurecajn komponentojn de Thunderbolt. Surbaze de la identigitaj problemoj, naŭ atakscenaroj estas proponitaj, efektivigitaj se la atakanto havas lokan aliron al la sistemo per ligado de malica aparato aŭ manipulado de la firmvaro.
Atakoscenaroj inkluzivas la kapablon krei identigilojn de arbitraj Thunderbolt-aparatoj, kloni rajtigitajn aparatojn, hazardan aliron al sistema memoro per DMA kaj superregi agordojn de Sekurecnivelo, inkluzive de tute malŝalti ĉiujn protektajn mekanismojn, bloki la instaladon de firmware-ĝisdatigoj kaj interfactradukado al Thunderbolt-reĝimo sur. sistemoj limigitaj al USB aŭ DisplayPort plusendado.
Thunderbolt estas universala interfaco por konekti ekstercentrajn aparatojn, kiuj kombinas PCIe (PCI Express) kaj DisplayPort-interfacojn en unu kablo. Thunderbolt estis disvolvita de Intel kaj Apple kaj estas uzata en multaj modernaj tekkomputiloj kaj komputiloj. PCIe-bazitaj Thunderbolt-aparatoj estas provizitaj per DMA I/O, kiu prezentas la minacon de DMA-atakoj por legi kaj skribi tutan sisteman memoron aŭ kapti datumojn de ĉifritaj aparatoj. Por malhelpi tiajn atakojn, Thunderbolt proponis la koncepton de Sekurecaj Niveloj, kiu permesas la uzon de nur uzant-rajtigitaj aparatoj kaj uzas kriptografan aŭtentikigon de konektoj por protekti kontraŭ ID-falsado.
La identigitaj vundeblecoj ebligas preteriri tian ligon kaj konekti malican aparaton sub la alivestiĝo de rajtigita. Krome, eblas modifi la firmware kaj ŝanĝi la SPI-Fulmon al nurlegebla reĝimo, kiu povas esti uzata por tute malŝalti sekurecajn nivelojn kaj malpermesi ĝisdatigojn de firmware (utilaĵoj estis preparitaj por tiaj manipuladoj. и ). Entute, informoj pri sep problemoj estis malkaŝitaj:
- Uzo de neadekvataj firmware-kontrolskemoj;
- Uzante malfortan aparaton aŭtentikigskemon;
- Ŝargado de metadatenoj de neaŭtentikigita aparato;
- Havebleco de retrokongruaj mekanismoj, kiuj ebligas la uzon de retroigaj atakoj ;
- Uzante neaŭtentikigitajn regilajn agordajn parametrojn;
- Problemoj en la interfaco por SPI Flash;
- Manko de protekta ekipaĵo ĉe la nivelo .
La vundebleco influas ĉiujn aparatojn ekipitajn per Thunderbolt 1 kaj 2 (Mini DisplayPort bazita) kaj Thunderbolt 3 (USB-C bazita). Ankoraŭ ne estas klare ĉu problemoj aperas en aparatoj kun USB 4 kaj Thunderbolt 4, ĉar ĉi tiuj teknologioj ĵus estas anoncitaj kaj ankoraŭ ne ekzistas maniero testi ilian efektivigon. Vundeblecoj ne povas esti eliminitaj per softvaro kaj postulas restrukturi de hardvarkomponentoj. Tamen, por iuj novaj aparatoj eblas bloki iujn problemojn asociitajn kun DMA uzante la mekanismon , subteno por kiu komenciĝis esti efektivigita ekde 2019 ( en la Linukso-kerno, ekde la eldono 5.0, vi povas kontroli la inkludon per "/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").
Python-skripto estas provizita por kontroli viajn aparatojn , kiu postulas kuri kiel radiko por aliri DMI, ACPI DMAR-tabelon kaj WMI. Por protekti vundeblajn sistemojn, ni rekomendas, ke vi ne lasu la sistemon neatendita aŭ en standby, ne konektu la Thunderbolt-aparatojn de aliulo, ne lasu aŭ donu viajn aparatojn al aliaj kaj certigu, ke viaj aparatoj estas fizike sekurigitaj. Se Thunderbolt ne estas bezonata, oni rekomendas malŝalti la Thunderbolt-regilon en la UEFI aŭ BIOS (ĉi tio povas kaŭzi ke la USB- kaj DisplayPort-havenoj ne funkcios se ili estas efektivigitaj per Thunderbolt-regilo).
fonto: opennet.ru