Información sobre en equipos con interface Thunderbolt, unidos baixo o nome en clave e ignorar todos os principais compoñentes de seguridade de Thunderbolt. En función dos problemas identificados, propóñense nove escenarios de ataque, implementados se o atacante ten acceso local ao sistema mediante a conexión dun dispositivo malicioso ou a manipulación do firmware.
Os escenarios de ataque inclúen a posibilidade de crear identificadores de dispositivos Thunderbolt arbitrarios, clonar dispositivos autorizados, acceso aleatorio á memoria do sistema a través de DMA e anular a configuración do nivel de seguranza, incluíndo desactivar completamente todos os mecanismos de protección, bloquear a instalación de actualizacións de firmware e traducións da interface ao modo Thunderbolt activado. sistemas limitados a reenvío USB o DisplayPort.
Thunderbolt é unha interface universal para conectar dispositivos periféricos que combina interfaces PCIe (PCI Express) e DisplayPort nun só cable. Thunderbolt foi desenvolvido por Intel e Apple e utilízase en moitos portátiles e ordenadores modernos. Os dispositivos Thunderbolt baseados en PCIe están provistos de E/S DMA, o que supón a ameaza de ataques DMA para ler e escribir toda a memoria do sistema ou capturar datos de dispositivos cifrados. Para evitar este tipo de ataques, Thunderbolt propuxo o concepto de niveis de seguridade, que permite o uso de dispositivos só autorizados polo usuario e utiliza a autenticación criptográfica das conexións para protexerse contra a falsificación de ID.
As vulnerabilidades identificadas permiten evitar tal vinculación e conectar un dispositivo malicioso baixo o pretexto dun autorizado. Ademais, é posible modificar o firmware e cambiar o SPI Flash ao modo de só lectura, que se pode usar para desactivar completamente os niveis de seguridade e prohibir as actualizacións de firmware (preparáronse utilidades para tales manipulacións). и ). En total, revelouse información sobre sete problemas:
- Uso de esquemas de verificación de firmware inadecuados;
- Usando un esquema de autenticación de dispositivo débil;
- Cargando metadatos desde un dispositivo non autenticado;
- Dispoñibilidade de mecanismos de compatibilidade con versións anteriores que permiten o uso de ataques de retroceso ;
- Usando parámetros de configuración do controlador non autenticados;
- Fallos na interface para SPI Flash;
- Falta de equipos de protección a nivel .
A vulnerabilidade afecta a todos os dispositivos equipados con Thunderbolt 1 e 2 (baseado en Mini DisplayPort) e Thunderbolt 3 (baseado en USB-C). Aínda non está claro se aparecen problemas nos dispositivos con USB 4 e Thunderbolt 4, xa que estas tecnoloxías acaban de ser anunciadas e aínda non hai forma de probar a súa implementación. As vulnerabilidades non poden ser eliminadas polo software e requiren o redeseño dos compoñentes de hardware. Non obstante, para algúns dispositivos novos é posible bloquear algúns dos problemas asociados á DMA mediante o mecanismo , cuxo apoio comezou a implantarse a partir de 2019 ( no núcleo de Linux, a partir da versión 5.0, pode comprobar a inclusión a través de "/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").
Ofrécese un script Python para comprobar os teus dispositivos , que require executar como root para acceder a DMI, a táboa ACPI DMAR e a WMI. Para protexer os sistemas vulnerables, recomendámosche que non deixes o sistema desatendido ou en modo de espera, non conectes os dispositivos Thunderbolt doutra persoa, non deixes nin cedas os teus dispositivos a outras persoas e asegúrese de que os seus dispositivos estean fisicamente protexidos. Se non se necesita Thunderbolt, recoméndase desactivar o controlador Thunderbolt na UEFI ou na BIOS (isto pode provocar que os portos USB e DisplayPort non funcionen se se implementan mediante un controlador Thunderbolt).
Fonte: opennet.ru