Informasi tentang pada peralatan dengan antarmuka Thunderbolt, disatukan dengan nama kode dan melewati semua komponen keamanan utama Thunderbolt. Berdasarkan masalah yang teridentifikasi, sembilan skenario serangan diusulkan, diterapkan jika penyerang memiliki akses lokal ke sistem melalui koneksi perangkat jahat atau manipulasi firmware.
Skenario serangan mencakup kemampuan untuk membuat pengidentifikasi perangkat Thunderbolt sewenang-wenang, mengkloning perangkat resmi, akses acak ke memori sistem melalui DMA dan mengesampingkan pengaturan Tingkat Keamanan, termasuk menonaktifkan sepenuhnya semua mekanisme perlindungan, memblokir instalasi pembaruan firmware dan terjemahan antarmuka ke mode Thunderbolt aktif sistem terbatas pada penerusan USB atau DisplayPort.
Thunderbolt adalah antarmuka universal untuk menghubungkan perangkat periferal yang menggabungkan antarmuka PCIe (PCI Express) dan DisplayPort dalam satu kabel. Thunderbolt dikembangkan oleh Intel dan Apple dan digunakan di banyak laptop dan PC modern. Perangkat Thunderbolt berbasis PCIe dilengkapi dengan DMA I/O, yang menimbulkan ancaman serangan DMA untuk membaca dan menulis seluruh memori sistem atau menangkap data dari perangkat terenkripsi. Untuk mencegah serangan semacam itu, Thunderbolt mengusulkan konsep Tingkat Keamanan, yang hanya mengizinkan penggunaan perangkat resmi pengguna dan menggunakan otentikasi kriptografi koneksi untuk melindungi dari pemalsuan ID.
Kerentanan yang teridentifikasi memungkinkan untuk melewati pengikatan tersebut dan menghubungkan perangkat jahat dengan kedok perangkat resmi. Selain itu, dimungkinkan untuk memodifikasi firmware dan mengalihkan SPI Flash ke mode read-only, yang dapat digunakan untuk sepenuhnya menonaktifkan tingkat keamanan dan melarang pembaruan firmware (utilitas telah disiapkan untuk manipulasi tersebut и ). Secara total, informasi tentang tujuh masalah diungkapkan:
- Penggunaan skema verifikasi firmware yang tidak memadai;
- Menggunakan skema otentikasi perangkat yang lemah;
- Memuat metadata dari perangkat yang tidak diautentikasi;
- Ketersediaan mekanisme kompatibilitas ke belakang yang memungkinkan penggunaan serangan rollback ;
- Menggunakan parameter konfigurasi pengontrol yang tidak diautentikasi;
- Gangguan pada antarmuka untuk SPI Flash;
- Kurangnya peralatan pelindung di tingkat tersebut .
Kerentanan ini memengaruhi semua perangkat yang dilengkapi Thunderbolt 1 dan 2 (berbasis Mini DisplayPort) dan Thunderbolt 3 (berbasis USB-C). Belum jelas apakah masalah muncul pada perangkat dengan USB 4 dan Thunderbolt 4, karena teknologi ini baru saja diumumkan dan belum ada cara untuk menguji penerapannya. Kerentanan tidak dapat dihilangkan dengan perangkat lunak dan memerlukan desain ulang komponen perangkat keras. Namun, untuk beberapa perangkat baru, beberapa masalah yang terkait dengan DMA dapat diblokir menggunakan mekanisme tersebut , dukungan yang mulai dilaksanakan mulai tahun 2019 ( di kernel Linux, mulai rilis 5.0, Anda dapat memeriksa penyertaannya melalui “/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection”).
Skrip Python disediakan untuk memeriksa perangkat Anda , yang harus dijalankan sebagai root untuk mengakses DMI, tabel ACPI DMAR, dan WMI. Untuk melindungi sistem yang rentan, kami menyarankan agar Anda tidak meninggalkan sistem tanpa pengawasan dalam keadaan hidup atau dalam mode siaga, jangan menyambungkan perangkat Thunderbolt orang lain, jangan meninggalkan atau memberikan perangkat Anda kepada orang lain, dan memastikan perangkat Anda aman secara fisik. Jika Thunderbolt tidak diperlukan, disarankan untuk menonaktifkan pengontrol Thunderbolt di UEFI atau BIOS (hal ini dapat menyebabkan port USB dan DisplayPort tidak berfungsi jika diterapkan melalui pengontrol Thunderbolt).
Sumber: opennet.ru