Información sobre en equipos con interfaz Thunderbolt, unidos bajo el nombre en clave y omitir todos los principales componentes de seguridad de Thunderbolt. Con base en los problemas identificados, se proponen nueve escenarios de ataque, que se implementan si el atacante tiene acceso local al sistema mediante la conexión de un dispositivo malicioso o la manipulación del firmware.
Los escenarios de ataque incluyen la capacidad de crear identificadores de dispositivos Thunderbolt arbitrarios, clonar dispositivos autorizados, acceso aleatorio a la memoria del sistema a través de DMA y anular la configuración del nivel de seguridad, incluida la desactivación completa de todos los mecanismos de protección, el bloqueo de la instalación de actualizaciones de firmware y la traducción de la interfaz al modo Thunderbolt en sistemas limitados al reenvío USB o DisplayPort.
Thunderbolt es una interfaz universal para conectar dispositivos periféricos que combina interfaces PCIe (PCI Express) y DisplayPort en un solo cable. Thunderbolt fue desarrollado por Intel y Apple y se utiliza en muchas computadoras portátiles y PC modernas. Los dispositivos Thunderbolt basados en PCIe cuentan con E/S DMA, lo que plantea la amenaza de ataques DMA para leer y escribir la memoria completa del sistema o capturar datos de dispositivos cifrados. Para evitar este tipo de ataques, Thunderbolt propuso el concepto de niveles de seguridad, que permite el uso únicamente de dispositivos autorizados por el usuario y utiliza autenticación criptográfica de las conexiones para proteger contra la falsificación de identidad.
Las vulnerabilidades identificadas permiten eludir dicho enlace y conectar un dispositivo malicioso disfrazado de uno autorizado. Además, es posible modificar el firmware y cambiar el SPI Flash al modo de solo lectura, lo que puede usarse para deshabilitar completamente los niveles de seguridad y prohibir las actualizaciones del firmware (las utilidades están preparadas para tales manipulaciones). и ). En total, se reveló información sobre siete problemas:
- Uso de esquemas de verificación de firmware inadecuados;
- Usar un esquema de autenticación de dispositivo débil;
- Cargar metadatos desde un dispositivo no autenticado;
- Disponibilidad de mecanismos de compatibilidad con versiones anteriores que permitan el uso de ataques de reversión en ;
- Usar parámetros de configuración del controlador no autenticados;
- Fallos en la interfaz para SPI Flash;
- Falta de equipo de protección a nivel. .
La vulnerabilidad afecta a todos los dispositivos equipados con Thunderbolt 1 y 2 (basado en Mini DisplayPort) y Thunderbolt 3 (basado en USB-C). Aún no está claro si aparecen problemas en dispositivos con USB 4 y Thunderbolt 4, ya que estas tecnologías acaban de ser anunciadas y aún no hay forma de probar su implementación. Las vulnerabilidades no pueden eliminarse mediante software y requieren un rediseño de los componentes de hardware. Sin embargo, para algunos dispositivos nuevos es posible bloquear algunos de los problemas asociados con DMA utilizando el mecanismo , cuyo soporte comenzó a implementarse a partir de 2019 ( en el kernel de Linux, a partir de la versión 5.0, puede verificar la inclusión a través de “/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection”).
Se proporciona un script de Python para verificar sus dispositivos , que requiere ejecutarse como root para acceder a DMI, la tabla ACPI DMAR y WMI. Para proteger los sistemas vulnerables, le recomendamos que no deje el sistema desatendido encendido o en modo de espera, no conecte los dispositivos Thunderbolt de otra persona, no deje ni entregue sus dispositivos a otras personas y se asegure de que sus dispositivos estén físicamente protegidos. Si no se necesita Thunderbolt, se recomienda desactivar el controlador Thunderbolt en UEFI o BIOS (esto puede provocar que los puertos USB y DisplayPort no funcionen si se implementan a través de un controlador Thunderbolt).
Fuente: opennet.ru