Informazioni su in apparecchiature con interfaccia Thunderbolt, riuniti sotto il nome in codice e bypassa tutti i principali componenti di sicurezza Thunderbolt. Sulla base dei problemi identificati, vengono proposti nove scenari di attacco, implementati se l'aggressore ha accesso locale al sistema collegando un dispositivo dannoso o manipolando il firmware.
Gli scenari di attacco includono la possibilità di creare identificatori di dispositivi Thunderbolt arbitrari, clonare dispositivi autorizzati, accedere casualmente alla memoria di sistema tramite DMA e sovrascrivere le impostazioni del livello di sicurezza, inclusa la disattivazione completa di tutti i meccanismi di protezione, il blocco dell'installazione di aggiornamenti firmware e le traduzioni dell'interfaccia in modalità Thunderbolt su sistemi limitati all'inoltro USB o DisplayPort.
Thunderbolt è un'interfaccia universale per il collegamento di dispositivi periferici che combina le interfacce PCIe (PCI Express) e DisplayPort in un unico cavo. Thunderbolt è stato sviluppato da Intel e Apple ed è utilizzato in molti laptop e PC moderni. I dispositivi Thunderbolt basati su PCIe sono dotati di I/O DMA, che rappresenta il rischio di attacchi DMA per leggere e scrivere l'intera memoria di sistema o acquisire dati da dispositivi crittografati. Per prevenire tali attacchi, Thunderbolt ha proposto il concetto di livelli di sicurezza, che consente l'uso solo di dispositivi autorizzati dall'utente e utilizza l'autenticazione crittografica delle connessioni per proteggere dalla falsificazione dell'identità.
Le vulnerabilità identificate consentono di aggirare tale vincolo e connettere un dispositivo dannoso sotto le spoglie di uno autorizzato. Inoltre, è possibile modificare il firmware e commutare SPI Flash in modalità di sola lettura, che può essere utilizzata per disabilitare completamente i livelli di sicurezza e vietare gli aggiornamenti del firmware (le utilità sono state preparate per tali manipolazioni и ). In totale, sono state divulgate informazioni su sette problemi:
- Utilizzo di schemi di verifica del firmware inadeguati;
- Utilizzo di uno schema di autenticazione del dispositivo debole;
- Caricamento di metadati da un dispositivo non autenticato;
- Disponibilità di meccanismi di compatibilità con le versioni precedenti che consentono l'uso di attacchi di rollback su ;
- Utilizzo di parametri di configurazione del controller non autenticati;
- Problemi nell'interfaccia per SPI Flash;
- Mancanza di dispositivi di protezione a livello .
La vulnerabilità colpisce tutti i dispositivi dotati di Thunderbolt 1 e 2 (basati su Mini DisplayPort) e Thunderbolt 3 (basati su USB-C). Non è ancora chiaro se si manifestino problemi nei dispositivi con USB 4 e Thunderbolt 4, poiché queste tecnologie sono state appena annunciate e non è ancora possibile testarne l'implementazione. Le vulnerabilità non possono essere eliminate dal software e richiedono la riprogettazione dei componenti hardware. Tuttavia, per alcuni nuovi dispositivi è possibile bloccare alcuni dei problemi associati al DMA utilizzando il meccanismo , il cui sostegno ha iniziato ad essere attuato a partire dal 2019 ( nel kernel Linux, a partire dalla versione 5.0, è possibile verificarne l'inclusione tramite “/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection”).
Viene fornito uno script Python per controllare i tuoi dispositivi , che richiede l'esecuzione come root per accedere a DMI, tabella ACPI DMAR e WMI. Per proteggere i sistemi vulnerabili, ti consigliamo di non lasciare il sistema incustodito acceso o in modalità standby, di non collegare i dispositivi Thunderbolt di qualcun altro, di non lasciare o dare i tuoi dispositivi ad altri e di assicurarti che i tuoi dispositivi siano fisicamente protetti. Se Thunderbolt non è necessario, si consiglia di disabilitare il controller Thunderbolt nell'UEFI o nel BIOS (questo potrebbe causare il mancato funzionamento delle porte USB e DisplayPort se implementate tramite un controller Thunderbolt).
Fonte: opennet.ru