Tietoa laitteissa, joissa on Thunderbolt-liitäntä, yhdistetty koodinimen alle ja ohittaa kaikki tärkeimmät Thunderbolt-suojauskomponentit. Tunnistettujen ongelmien perusteella ehdotetaan yhdeksää hyökkäysskenaariota, jotka toteutetaan, jos hyökkääjällä on paikallinen pääsy järjestelmään liittämällä haitallinen laite tai manipuloimalla laiteohjelmistoa.
Hyökkäysskenaarioihin kuuluu mahdollisuus luoda tunnisteita mielivaltaisille Thunderbolt-laitteille, kloonata valtuutettuja laitteita, satunnainen pääsy järjestelmämuistiin DMA:n kautta ja ohittaa suojaustasoasetukset, mukaan lukien kaikkien suojausmekanismien poistaminen kokonaan käytöstä, laiteohjelmistopäivitysten asennuksen estäminen ja käyttöliittymän käännökset Thunderbolt-tilaan järjestelmät, jotka on rajoitettu USB- tai DisplayPort-edelleenlähetykseen.
Thunderbolt on yleiskäyttöinen liitäntä oheislaitteiden liittämiseen, joka yhdistää PCIe (PCI Express)- ja DisplayPort-liitännät samassa kaapelissa. Thunderboltin ovat kehittäneet Intel ja Apple, ja sitä käytetään monissa nykyaikaisissa kannettavissa tietokoneissa ja tietokoneissa. PCIe-pohjaisissa Thunderbolt-laitteissa on DMA I/O, mikä aiheuttaa DMA-hyökkäysten uhan lukea ja kirjoittaa koko järjestelmämuistia tai kaapata tietoja salatuista laitteista. Tällaisten hyökkäysten estämiseksi Thunderbolt ehdotti suojaustasojen konseptia, joka sallii vain käyttäjien valtuuttamien laitteiden käytön ja käyttää yhteyksien salaustodennusta suojatakseen ID-väärennöksiä.
Tunnistetut haavoittuvuudet mahdollistavat tällaisen sitomisen ohituksen ja haitallisen laitteen yhdistämisen valtuutetun laitteen varjolla. Lisäksi on mahdollista muokata laiteohjelmistoa ja vaihtaa SPI Flash vain luku -tilaan, jolla voidaan poistaa suojaustasot kokonaan käytöstä ja estää laiteohjelmistopäivitykset (tällaisiin manipulaatioihin on valmisteltu apuohjelmia и ). Kaikkiaan tietoja seitsemästä ongelmasta paljastettiin:
- riittämättömien laiteohjelmiston varmennusjärjestelmien käyttö;
- Käyttää heikkoa laitteen todennusjärjestelmää;
- Ladataan metatietoja todentamattomasta laitteesta;
- Taaksepäin yhteensopivuusmekanismien saatavuus, jotka mahdollistavat palautushyökkäysten käytön ;
- Käyttämällä todentamattomia ohjaimen konfigurointiparametreja;
- SPI Flashin käyttöliittymän häiriöt;
- Suojavarusteiden puute tasolla .
Haavoittuvuus koskee kaikkia laitteita, joissa on Thunderbolt 1 ja 2 (Mini DisplayPort -pohjainen) ja Thunderbolt 3 (USB-C-pohjainen). Vielä ei ole selvää, esiintyykö ongelmia USB 4:llä ja Thunderbolt 4:llä varustetuissa laitteissa, koska nämä tekniikat on julkistettu vasta äskettäin, eikä niiden toteutusta ole vielä mahdollista testata. Haavoittuvuuksia ei voida poistaa ohjelmistoilla, ja ne edellyttävät laitteistokomponenttien uudelleensuunnittelua. Joissakin uusissa laitteissa on kuitenkin mahdollista estää joitakin DMA:han liittyviä ongelmia mekanismin avulla , jonka tukea alettiin toteuttaa vuodesta 2019 alkaen ( Linux-ytimessä julkaisusta 5.0 alkaen voit tarkistaa sisällyttämisen kohdasta "/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").
Python-skripti toimitetaan laitteidesi tarkistamiseen , joka vaatii ajamisen pääkäyttäjänä DMI:n, ACPI DMAR -taulukon ja WMI:n käyttämiseksi. Haavoittuvien järjestelmien suojaamiseksi suosittelemme, että et jätä järjestelmää ilman valvontaa päälle tai valmiustilaan, et liitä jonkun muun Thunderbolt-laitteita, älä jätä tai anna laitteitasi muille ja varmista, että laitteesi on fyysisesti suojattu. Jos Thunderboltia ei tarvita, on suositeltavaa poistaa Thunderbolt-ohjain käytöstä UEFI:ssä tai BIOSissa (tämä saattaa aiheuttaa sen, että USB- ja DisplayPort-portit eivät toimi, jos ne on toteutettu Thunderbolt-ohjaimen kautta).
Lähde: opennet.ru