についての情報 Thunderbolt インターフェースを備えた機器では、コード名で統一されています すべての主要な Thunderbolt セキュリティ コンポーネントをバイパスします。 特定された問題に基づいて、攻撃者が悪意のあるデバイスの接続またはファームウェアの操作を通じてシステムにローカル アクセスできる場合に実行される XNUMX つの攻撃シナリオが提案されています。
攻撃シナリオには、任意の Thunderbolt デバイスの識別子の作成、承認されたデバイスのクローン作成、DMA 経由のシステム メモリへのランダム アクセス、セキュリティ レベル設定のオーバーライド (すべての保護メカニズムの完全な無効化、ファームウェア アップデートのインストールのブロック、Thunderbolt モードへのインターフェイス変換など) が含まれます。システムは USB または DisplayPort 転送に限定されます。
Thunderbolt は、PCIe (PCI Express) インターフェイスと DisplayPort インターフェイスを XNUMX 本のケーブルに組み合わせた、周辺機器を接続するためのユニバーサル インターフェイスです。 Thunderbolt は Intel と Apple によって開発され、多くの最新のラップトップや PC で使用されています。 PCIe ベースの Thunderbolt デバイスには DMA I/O が備わっているため、システム メモリ全体の読み書きや暗号化されたデバイスからのデータのキャプチャに対する DMA 攻撃の脅威が生じます。 このような攻撃を防ぐために、Thunderbolt は、ユーザーが許可したデバイスのみの使用を許可し、接続の暗号化認証を使用して ID 偽造を防ぐセキュリティ レベルの概念を提案しました。
特定された脆弱性により、このようなバインドをバイパスし、許可されたデバイスを装って悪意のあるデバイスを接続することが可能になります。 さらに、ファームウェアを変更して SPI フラッシュを読み取り専用モードに切り替えることも可能です。これを使用すると、セキュリティ レベルを完全に無効にし、ファームウェアのアップデートを禁止できます (このような操作用にユーティリティが用意されています) и )。 合計 XNUMX つの問題に関する情報が公開されました。
- 不適切なファームウェア検証スキームの使用。
- 弱いデバイス認証スキームを使用する。
- 認証されていないデバイスからメタデータをロードする。
- ロールバック攻撃の使用を可能にする下位互換性メカニズムの利用可能性 ;
- 認証されていないコントローラー構成パラメーターの使用。
- SPI フラッシュのインターフェイスの不具合。
- レベルでの保護具の欠如 .
この脆弱性は、Thunderbolt 1 および 2 (Mini DisplayPort ベース) および Thunderbolt 3 (USB-C ベース) を搭載したすべてのデバイスに影響します。 USB 4 および Thunderbolt 4 を搭載したデバイスで問題が発生するかどうかはまだ明らかではありません。これらのテクノロジーは発表されたばかりであり、実装をテストする方法がまだないためです。 脆弱性はソフトウェアでは排除できないため、ハードウェア コンポーネントの再設計が必要です。 ただし、一部の新しいデバイスでは、メカニズムを使用して DMA に関連する問題の一部をブロックすることができます。 、2019 年からサポートが開始されました ( Linux カーネルでは、リリース 5.0 以降、「/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection」を介して含まれていることを確認できます。
デバイスをチェックするための Python スクリプトが提供されています 。DMI、ACPI DMAR テーブル、および WMI にアクセスするには、root として実行する必要があります。 脆弱なシステムを保護するために、システムをオンまたはスタンバイ モードのまま放置しないこと、他人の Thunderbolt デバイスに接続しないこと、デバイスを放置したり他人に譲渡したりしないこと、デバイスが物理的に安全であることを確認することをお勧めします。 Thunderbolt が必要ない場合は、UEFI または BIOS で Thunderbolt コントローラを無効にすることをお勧めします (これにより、USB ポートと DisplayPort ポートが Thunderbolt コントローラ経由で実装されている場合に機能しなくなる可能性があります)。
出所: オープンネット.ru