Informacije o u opremi s Thunderbolt sučeljem, objedinjenim pod kodnim imenom i zaobići sve glavne sigurnosne komponente Thunderbolta. Na temelju identificiranih problema predlaže se devet scenarija napada koji se provode ako napadač ima lokalni pristup sustavu povezivanjem zlonamjernog uređaja ili manipulacijom firmware-a.
Scenariji napada uključuju mogućnost stvaranja identifikatora proizvoljnih Thunderbolt uređaja, kloniranje ovlaštenih uređaja, nasumični pristup memoriji sustava putem DMA i nadjačavanje postavki sigurnosne razine, uključujući potpuno onemogućavanje svih zaštitnih mehanizama, blokiranje instalacije ažuriranja firmvera i prijevoda sučelja u Thunderbolt mod na sustavi ograničeni na USB ili DisplayPort prosljeđivanje.
Thunderbolt je univerzalno sučelje za povezivanje perifernih uređaja koje kombinira PCIe (PCI Express) i DisplayPort sučelja u jednom kabelu. Thunderbolt su razvili Intel i Apple i koristi se u mnogim modernim prijenosnim i osobnim računalima. Thunderbolt uređaji koji se temelje na PCIe-u imaju DMA I/O, što predstavlja prijetnju od DMA napada za čitanje i pisanje cijele sistemske memorije ili snimanje podataka s šifriranih uređaja. Kako bi spriječio takve napade, Thunderbolt je predložio koncept sigurnosnih razina, koji dopušta korištenje samo korisnički autoriziranih uređaja i koristi kriptografsku provjeru autentičnosti veza za zaštitu od krivotvorenja ID-a.
Identificirane ranjivosti omogućuju zaobilaženje takvog povezivanja i povezivanje zlonamjernog uređaja pod krinkom ovlaštenog. Osim toga, moguće je modificirati firmver i prebaciti SPI Flash u način rada samo za čitanje, što se može koristiti za potpuno onemogućavanje sigurnosnih razina i zabranu ažuriranja firmvera (uslužni programi su pripremljeni za takve manipulacije и ). Ukupno su objavljene informacije o sedam problema:
- Korištenje neadekvatnih shema verifikacije firmvera;
- Korištenje slabe sheme provjere autentičnosti uređaja;
- Učitavanje metapodataka s neautoriziranog uređaja;
- Dostupnost mehanizama kompatibilnosti unatrag koji dopuštaju korištenje napada vraćanja na staro stanje ;
- Korištenje neautoriziranih konfiguracijskih parametara kontrolera;
- Greške u sučelju za SPI Flash;
- Nedostatak zaštitne opreme na razini .
Ranjivost utječe na sve uređaje opremljene Thunderbolt 1 i 2 (temeljen Mini DisplayPort) i Thunderbolt 3 (temeljen USB-C). Još nije jasno pojavljuju li se problemi u uređajima s USB 4 i Thunderbolt 4, jer su ove tehnologije tek najavljene i još nema načina da se testira njihova implementacija. Ranjivosti se ne mogu otkloniti softverom i zahtijevaju redizajn hardverskih komponenti. Međutim, za neke nove uređaje moguće je blokirati neke od problema povezanih s DMA pomoću mehanizma , čija se podrška počela provoditi počevši od 2019. godine ( u Linux kernelu, počevši od izdanja 5.0, uključivanje možete provjeriti putem “/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection”).
Za provjeru vaših uređaja dostupna je Python skripta , koji zahtijeva pokretanje kao root za pristup DMI-ju, ACPI DMAR tablici i WMI-ju. Kako biste zaštitili ranjive sustave, preporučujemo da ne ostavljate svoj sustav bez nadzora uključen ili u stanju pripravnosti, da ne spajate tuđe Thunderbolt uređaje, da ne ostavljate niti prenosite svoje uređaje drugima i da osigurate da su vaši uređaji fizički osigurani. Ako Thunderbolt nije potreban, preporučuje se onemogućiti Thunderbolt kontroler u UEFI-ju ili BIOS-u (to može uzrokovati da USB i DisplayPort priključci ne rade ako su implementirani putem Thunderbolt kontrolera).
Izvor: opennet.ru