ProHoster > وبلاگ > اخبار اینترنتی > Thunderspy - مجموعه ای از حملات به تجهیزات با رابط Thunderbolt

Thunderspy - مجموعه ای از حملات به تجهیزات با رابط Thunderbolt

آشکار شد اطلاعاتی درباره هفت آسیب پذیری در تجهیزات با رابط Thunderbolt که تحت نام رمز متحد شده است رعد و برق و تمام اجزای اصلی امنیتی Thunderbolt را دور بزنید. بر اساس مشکلات شناسایی شده، XNUMX سناریو حمله پیشنهاد شده است که در صورتی که مهاجم از طریق اتصال یک دستگاه مخرب یا دستکاری سیستم عامل دسترسی محلی به سیستم داشته باشد، اجرا می شود.

سناریوهای حمله شامل توانایی ایجاد شناسه‌های دستگاه‌های Thunderbolt دلخواه، شبیه‌سازی دستگاه‌های مجاز، دسترسی تصادفی به حافظه سیستم از طریق DMA و لغو تنظیمات سطح امنیت، از جمله غیرفعال کردن کامل همه مکانیسم‌های حفاظتی، مسدود کردن نصب به‌روزرسانی‌های سیستم عامل و ترجمه رابط به حالت Thunderbolt در سیستم‌های محدود به ارسال USB یا DisplayPort.

Thunderbolt یک رابط جهانی برای اتصال دستگاه های جانبی است که رابط های PCIe (PCI Express) و DisplayPort را در یک کابل ترکیب می کند. Thunderbolt توسط اینتل و اپل توسعه یافته است و در بسیاری از لپ تاپ ها و رایانه های شخصی مدرن استفاده می شود. دستگاه‌های Thunderbolt مبتنی بر PCIe با DMA I/O ارائه می‌شوند که تهدید حملات DMA برای خواندن و نوشتن کل حافظه سیستم یا گرفتن داده‌ها از دستگاه‌های رمزگذاری‌شده است. برای جلوگیری از چنین حملاتی، Thunderbolt مفهوم سطوح امنیتی را پیشنهاد کرد که فقط استفاده از دستگاه‌های مجاز توسط کاربر را مجاز می‌کند و از احراز هویت رمزنگاری اتصالات برای محافظت در برابر جعل شناسه استفاده می‌کند.

آسیب پذیری های شناسایی شده دور زدن چنین اتصال و اتصال یک دستگاه مخرب را تحت پوشش یک دستگاه مجاز ممکن می کند. علاوه بر این، امکان تغییر سفت‌افزار و تغییر SPI Flash به حالت فقط خواندنی وجود دارد که می‌تواند برای غیرفعال کردن کامل سطوح امنیتی و ممنوعیت به‌روزرسانی سیستم‌افزار مورد استفاده قرار گیرد (ابزارهایی برای چنین دستکاری‌هایی آماده شده‌اند. tcfp и اسپیبلوک). در مجموع، اطلاعات مربوط به هفت مشکل فاش شد:

  • استفاده از طرح های تأیید سیستم عامل ناکافی؛
  • استفاده از یک طرح احراز هویت ضعیف دستگاه؛
  • بارگیری ابرداده از یک دستگاه احراز هویت نشده؛
  • در دسترس بودن مکانیسم‌های سازگاری با عقب که امکان استفاده از حملات برگشتی را فراهم می‌کند فناوری های آسیب پذیر;
  • استفاده از پارامترهای پیکربندی کنترلر تایید نشده؛
  • اشکال در رابط برای SPI Flash.
  • کمبود تجهیزات حفاظتی در سطح اردوگاه تعلیمات نظامی نیروی دریایی.

این آسیب‌پذیری همه دستگاه‌های مجهز به Thunderbolt 1 و 2 (بر اساس Mini DisplayPort) و Thunderbolt 3 (بر اساس USB-C) را تحت تأثیر قرار می‌دهد. هنوز مشخص نیست که آیا مشکلاتی در دستگاه های دارای USB 4 و Thunderbolt 4 ظاهر می شود یا خیر، زیرا این فناوری ها به تازگی معرفی شده اند و هنوز راهی برای آزمایش پیاده سازی آنها وجود ندارد. آسیب پذیری ها را نمی توان با نرم افزار از بین برد و نیازمند طراحی مجدد قطعات سخت افزاری است. با این حال، برای برخی از دستگاه های جدید می توان برخی از مشکلات مرتبط با DMA را با استفاده از مکانیزم مسدود کرد حفاظت از هسته DMA، پشتیبانی که از سال 2019 شروع به اجرا کرد (پشتیبانی شده توسط در هسته لینوکس، با شروع نسخه 5.0، می توانید از طریق "/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection" گنجاندن را بررسی کنید.

یک اسکریپت پایتون برای بررسی دستگاه های شما ارائه شده است جاسوسی، که برای دسترسی به DMI، جدول ACPI DMAR و WMI نیاز به اجرا به عنوان root دارد. برای محافظت از سیستم‌های آسیب‌پذیر، توصیه می‌کنیم که سیستم را بدون مراقبت روشن یا در حالت آماده‌باش رها نکنید، دستگاه‌های Thunderbolt دیگران را وصل نکنید، دستگاه‌های خود را ترک نکنید یا در اختیار دیگران قرار ندهید، و مطمئن شوید که دستگاه‌های شما از نظر فیزیکی ایمن هستند. اگر Thunderbolt مورد نیاز نیست، توصیه می شود کنترلر Thunderbolt را در UEFI یا BIOS غیرفعال کنید (این ممکن است باعث شود پورت های USB و DisplayPort اگر از طریق کنترلر Thunderbolt پیاده سازی شوند کار نکنند).

منبع: opennet.ru

اضافه کردن نظر