Ynformaasje oer yn apparatuer mei in Thunderbolt-ynterface, ferienige ûnder de koadenamme en bypass alle grutte Thunderbolt feiligens komponinten. Op grûn fan 'e identifisearre problemen wurde njoggen oanfalssenario's foarsteld, útfierd as de oanfaller lokale tagong hat ta it systeem troch it ferbinen fan in kwea-aardich apparaat of it manipulearjen fan de firmware.
Oanfalscenario's omfetsje de mooglikheid om identifiers te meitsjen fan willekeurige Thunderbolt-apparaten, clone-autorisearre apparaten, willekeurige tagong ta systeemûnthâld fia DMA en oerskriuwen fan feiligensnivo-ynstellingen, ynklusyf folslein útskeakelje fan alle beskermingsmeganismen, blokkearjen fan de ynstallaasje fan firmware-updates en ynterface-oersettingen nei Thunderbolt-modus op systemen beheind ta USB of DisplayPort trochstjoere.
Thunderbolt is in universele ynterface foar it ferbinen fan perifeare apparaten dy't PCIe (PCI Express) en DisplayPort-ynterfaces yn ien kabel kombineart. Thunderbolt is ûntwikkele troch Intel en Apple en wurdt brûkt yn in protte moderne laptops en PC's. PCIe-basearre Thunderbolt-apparaten wurde foarsjoen fan DMA I / O, dy't de bedriging foarmet fan DMA-oanfallen om it hiele systeemûnthâld te lêzen en te skriuwen of gegevens fan fersifere apparaten te fangen. Om sokke oanfallen te foarkommen, stelde Thunderbolt it konsept fan Feiligensnivo's foar, wêrtroch it gebrûk fan allinich brûker-autorisearre apparaten mooglik is en kryptografyske autentikaasje fan ferbiningen brûkt om te beskermjen tsjin ID-ferfalsking.
De identifisearre kwetsberens meitsje it mooglik om sa'n bining te omgean en in kwea-aardich apparaat te ferbinen ûnder it mom fan in autorisearre. Derneist is it mooglik om de firmware te feroarjen en de SPI Flash te wikseljen nei allinich-lêsmodus, dy't kin wurde brûkt om feiligensnivo's folslein út te skeakeljen en firmware-updates te ferbieden (hulpprogramma's binne taret foar sokke manipulaasjes и ). Yn totaal waard ynformaasje oer sân problemen iepenbiere:
- Gebrûk fan ûnfoldwaande firmware-ferifikaasjeskema's;
- Mei help fan in swak apparaat autentikaasje skema;
- Metadata laden fan in net authentisearre apparaat;
- Beskikberens fan efterút komptabiliteit meganismen dy't tastean it brûken fan rollback oanfallen op ;
- It brûken fan net-autentikearre konfiguraasjeparameters foar kontrôler;
- Glitches yn de ynterface foar SPI Flash;
- Gebrek oan beskermjende apparatuer op it nivo .
De kwetsberens hat ynfloed op alle apparaten útrist mei Thunderbolt 1 en 2 (Mini DisplayPort basearre) en Thunderbolt 3 (USB-C basearre). It is noch net dúdlik oft problemen ferskine yn apparaten mei USB 4 en Thunderbolt 4, om't dizze technologyen pas krekt oankundige binne en d'r noch gjin manier is om har ymplemintaasje te testen. Kwetsberheden kinne net wurde eliminearre troch software en fereaskje werynrjochting fan hardware komponinten. Foar guon nije apparaten is it lykwols mooglik om guon fan 'e problemen ferbûn mei DMA te blokkearjen mei it meganisme , dêr't stipe foar begon te ymplementearjen fanôf 2019 ( yn 'e Linux-kernel, begjinnend mei release 5.0, kinne jo de ynklúzje kontrolearje fia "/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").
In Python-skript wurdt levere om jo apparaten te kontrolearjen , dy't as root nedich is om tagong te krijen ta DMI, ACPI DMAR-tabel en WMI. Om kwetsbere systemen te beskermjen, riede wy oan dat jo it systeem net sûnder tafersjoch litte yn of yn standby-modus, gjin Thunderbolt-apparaten fan in oar ferbine, jo apparaten net litte of jouwe oan oaren, en soargje dat jo apparaten fysyk befeilige binne. As Thunderbolt net nedich is, wurdt it oanrikkemandearre om de Thunderbolt-controller út te skeakeljen yn 'e UEFI of BIOS (dit kin feroarsaakje dat de USB- en DisplayPort-poarten net wurkje as se wurde ymplementearre fia in Thunderbolt-controller).
Boarne: opennet.ru