Thunderspy - مجموعه ای از حملات به تجهیزات با رابط Thunderbolt
آشکار شد اطلاعاتی درباره هفت آسیب پذیری در تجهیزات با رابط Thunderbolt که تحت نام رمز متحد شده است رعد و برق و تمام اجزای اصلی امنیتی Thunderbolt را دور بزنید. بر اساس مشکلات شناسایی شده، XNUMX سناریو حمله پیشنهاد شده است که در صورتی که مهاجم از طریق اتصال یک دستگاه مخرب یا دستکاری سیستم عامل دسترسی محلی به سیستم داشته باشد، اجرا می شود.
سناریوهای حمله شامل توانایی ایجاد شناسههای دستگاههای Thunderbolt دلخواه، شبیهسازی دستگاههای مجاز، دسترسی تصادفی به حافظه سیستم از طریق DMA و لغو تنظیمات سطح امنیت، از جمله غیرفعال کردن کامل همه مکانیسمهای حفاظتی، مسدود کردن نصب بهروزرسانیهای سیستم عامل و ترجمه رابط به حالت Thunderbolt در سیستمهای محدود به ارسال USB یا DisplayPort.
Thunderbolt یک رابط جهانی برای اتصال دستگاه های جانبی است که رابط های PCIe (PCI Express) و DisplayPort را در یک کابل ترکیب می کند. Thunderbolt توسط اینتل و اپل توسعه یافته است و در بسیاری از لپ تاپ ها و رایانه های شخصی مدرن استفاده می شود. دستگاههای Thunderbolt مبتنی بر PCIe با DMA I/O ارائه میشوند که تهدید حملات DMA برای خواندن و نوشتن کل حافظه سیستم یا گرفتن دادهها از دستگاههای رمزگذاریشده است. برای جلوگیری از چنین حملاتی، Thunderbolt مفهوم سطوح امنیتی را پیشنهاد کرد که فقط استفاده از دستگاههای مجاز توسط کاربر را مجاز میکند و از احراز هویت رمزنگاری اتصالات برای محافظت در برابر جعل شناسه استفاده میکند.
آسیب پذیری های شناسایی شده دور زدن چنین اتصال و اتصال یک دستگاه مخرب را تحت پوشش یک دستگاه مجاز ممکن می کند. علاوه بر این، امکان تغییر سفتافزار و تغییر SPI Flash به حالت فقط خواندنی وجود دارد که میتواند برای غیرفعال کردن کامل سطوح امنیتی و ممنوعیت بهروزرسانی سیستمافزار مورد استفاده قرار گیرد (ابزارهایی برای چنین دستکاریهایی آماده شدهاند. tcfp и اسپیبلوک). در مجموع، اطلاعات مربوط به هفت مشکل فاش شد:
استفاده از طرح های تأیید سیستم عامل ناکافی؛
استفاده از یک طرح احراز هویت ضعیف دستگاه؛
بارگیری ابرداده از یک دستگاه احراز هویت نشده؛
در دسترس بودن مکانیسمهای سازگاری با عقب که امکان استفاده از حملات برگشتی را فراهم میکند فناوری های آسیب پذیر;
این آسیبپذیری همه دستگاههای مجهز به Thunderbolt 1 و 2 (بر اساس Mini DisplayPort) و Thunderbolt 3 (بر اساس USB-C) را تحت تأثیر قرار میدهد. هنوز مشخص نیست که آیا مشکلاتی در دستگاه های دارای USB 4 و Thunderbolt 4 ظاهر می شود یا خیر، زیرا این فناوری ها به تازگی معرفی شده اند و هنوز راهی برای آزمایش پیاده سازی آنها وجود ندارد. آسیب پذیری ها را نمی توان با نرم افزار از بین برد و نیازمند طراحی مجدد قطعات سخت افزاری است. با این حال، برای برخی از دستگاه های جدید می توان برخی از مشکلات مرتبط با DMA را با استفاده از مکانیزم مسدود کرد حفاظت از هسته DMA، پشتیبانی که از سال 2019 شروع به اجرا کرد (پشتیبانی شده توسط در هسته لینوکس، با شروع نسخه 5.0، می توانید از طریق "/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection" گنجاندن را بررسی کنید.
یک اسکریپت پایتون برای بررسی دستگاه های شما ارائه شده است جاسوسی، که برای دسترسی به DMI، جدول ACPI DMAR و WMI نیاز به اجرا به عنوان root دارد. برای محافظت از سیستمهای آسیبپذیر، توصیه میکنیم که سیستم را بدون مراقبت روشن یا در حالت آمادهباش رها نکنید، دستگاههای Thunderbolt دیگران را وصل نکنید، دستگاههای خود را ترک نکنید یا در اختیار دیگران قرار ندهید، و مطمئن شوید که دستگاههای شما از نظر فیزیکی ایمن هستند. اگر Thunderbolt مورد نیاز نیست، توصیه می شود کنترلر Thunderbolt را در UEFI یا BIOS غیرفعال کنید (این ممکن است باعث شود پورت های USB و DisplayPort اگر از طریق کنترلر Thunderbolt پیاده سازی شوند کار نکنند).