Des informations sur dans les équipements dotés d'une interface Thunderbolt, réunis sous le nom de code et contournez tous les principaux composants de sécurité Thunderbolt. Sur la base des problèmes identifiés, neuf scénarios d'attaque sont proposés, mis en œuvre si l'attaquant dispose d'un accès local au système en connectant un périphérique malveillant ou en manipulant le firmware.
Les scénarios d'attaque incluent la possibilité de créer des identifiants de périphériques Thunderbolt arbitraires, de cloner des périphériques autorisés, d'accéder aléatoirement à la mémoire système via DMA et de remplacer les paramètres de niveau de sécurité, notamment la désactivation complète de tous les mécanismes de protection, le blocage de l'installation de mises à jour du micrologiciel et la traduction de l'interface en mode Thunderbolt. systèmes limités au transfert USB ou DisplayPort.
Thunderbolt est une interface universelle pour connecter des périphériques qui combine les interfaces PCIe (PCI Express) et DisplayPort dans un seul câble. Thunderbolt a été développé par Intel et Apple et est utilisé dans de nombreux ordinateurs portables et PC modernes. Les appareils Thunderbolt basés sur PCIe sont fournis avec des E/S DMA, ce qui présente une menace d'attaques DMA visant à lire et écrire l'intégralité de la mémoire système ou à capturer des données à partir d'appareils cryptés. Pour prévenir de telles attaques, Thunderbolt a proposé le concept de niveaux de sécurité, qui permet d'utiliser uniquement des appareils autorisés par l'utilisateur et utilise l'authentification cryptographique des connexions pour se protéger contre la falsification d'identité.
Les vulnérabilités identifiées permettent de contourner une telle liaison et de connecter un appareil malveillant sous couvert d'un appareil autorisé. De plus, il est possible de modifier le firmware et de passer le SPI Flash en mode lecture seule, ce qui peut être utilisé pour désactiver complètement les niveaux de sécurité et interdire les mises à jour du firmware (des utilitaires ont été préparés pour de telles manipulations и ). Au total, des informations sur sept problèmes ont été divulguées :
- Utilisation de programmes de vérification du micrologiciel inadéquats ;
- Utiliser un système d'authentification de périphérique faible ;
- Chargement de métadonnées à partir d'un appareil non authentifié ;
- Disponibilité de mécanismes de compatibilité descendante qui permettent l'utilisation d'attaques par rollback sur ;
- Utilisation de paramètres de configuration de contrôleur non authentifiés ;
- Problèmes dans l'interface pour SPI Flash ;
- Manque d'équipement de protection au niveau .
La vulnérabilité affecte tous les appareils équipés de Thunderbolt 1 et 2 (basés sur Mini DisplayPort) et Thunderbolt 3 (basés sur USB-C). Il n'est pas encore clair si des problèmes apparaissent sur les appareils équipés de l'USB 4 et du Thunderbolt 4, car ces technologies viennent tout juste d'être annoncées et il n'y a pas encore de moyen de tester leur mise en œuvre. Les vulnérabilités ne peuvent pas être éliminées par logiciel et nécessitent une refonte des composants matériels. Cependant, pour certains nouveaux appareils, il est possible de bloquer certains problèmes associés au DMA à l'aide du mécanisme , dont le soutien a commencé à être mis en œuvre à partir de 2019 ( dans le noyau Linux, à partir de la version 5.0, vous pouvez vérifier l'inclusion via « /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection »).
Un script Python est fourni pour vérifier vos appareils , qui nécessite d'être exécuté en tant que root pour accéder à DMI, à la table ACPI DMAR et à WMI. Pour protéger les systèmes vulnérables, nous vous recommandons de ne pas laisser le système allumé ou en mode veille sans surveillance, de ne pas connecter les appareils Thunderbolt de quelqu'un d'autre, de ne pas laisser ou donner vos appareils à d'autres et de vous assurer que vos appareils sont physiquement sécurisés. Si Thunderbolt n'est pas nécessaire, il est recommandé de désactiver le contrôleur Thunderbolt dans l'UEFI ou le BIOS (cela peut empêcher les ports USB et DisplayPort s'ils sont implémentés via un contrôleur Thunderbolt).
Source: opennet.ru