Informacija apie įrangoje su „Thunderbolt“ sąsaja, sujungta kodiniu pavadinimu ir apeiti visus pagrindinius „Thunderbolt“ saugos komponentus. Remiantis nustatytomis problemomis, siūlomi devyni atakų scenarijai, įgyvendinami, jei užpuolikas turi vietinę prieigą prie sistemos prijungdamas kenkėjišką įrenginį arba manipuliuodamas programine įranga.
Atakos scenarijai apima galimybę sukurti savavališkų „Thunderbolt“ įrenginių identifikatorius, klonuoti įgaliotus įrenginius, atsitiktinę prieigą prie sistemos atminties per DMA ir nepaisyti saugos lygio nustatymų, įskaitant visišką visų apsaugos mechanizmų išjungimą, programinės aparatinės įrangos naujinimų diegimo blokavimą ir sąsajos vertimą į „Thunderbolt“ režimą. sistemos apsiriboja USB arba DisplayPort persiuntimu.
„Thunderbolt“ yra universali sąsaja, skirta išoriniams įrenginiams sujungti, viename kabelyje apjungianti PCIe (PCI Express) ir DisplayPort sąsajas. „Thunderbolt“ sukūrė „Intel“ ir „Apple“ ir jis naudojamas daugelyje šiuolaikinių nešiojamųjų kompiuterių ir asmeninių kompiuterių. PCIe pagrįsti „Thunderbolt“ įrenginiai aprūpinti DMA įvesties/išvesties funkcija, kuri kelia DMA atakų grėsmę, norint nuskaityti ir rašyti visą sistemos atmintį arba užfiksuoti duomenis iš užšifruotų įrenginių. Siekdama užkirsti kelią tokioms atakoms, „Thunderbolt“ pasiūlė saugumo lygių koncepciją, kuri leidžia naudoti tik vartotojo įgaliotus įrenginius ir naudoja kriptografinį ryšių autentifikavimą, kad apsisaugotų nuo ID klastojimo.
Nustatyti pažeidžiamumai leidžia apeiti tokį susiejimą ir prijungti kenkėjišką įrenginį, prisidengiant įgaliotu įrenginiu. Be to, galima modifikuoti programinę-aparatinę įrangą ir perjungti SPI Flash į tik skaitymo režimą, kuriuo galima visiškai išjungti saugumo lygius ir uždrausti programinės aparatinės įrangos atnaujinimus (tokioms manipuliacijoms buvo paruoštos komunalinės paslaugos и ). Iš viso buvo atskleista informacija apie septynias problemas:
- Netinkamų programinės įrangos tikrinimo schemų naudojimas;
- Naudojant silpną įrenginio autentifikavimo schemą;
- metaduomenų įkėlimas iš neautentifikuoto įrenginio;
- Galimi atgalinio suderinamumo mechanizmai, leidžiantys naudoti atšaukimo atakas ;
- Neautentifikuotų valdiklio konfigūracijos parametrų naudojimas;
- Trūkumai SPI Flash sąsajoje;
- Apsaugos priemonių trūkumas lygiu .
Pažeidžiamumas paveikia visus įrenginius, kuriuose yra „Thunderbolt 1“ ir „Thunderbolt 2“ (pagrįstas „Mini DisplayPort“) ir „Thunderbolt 3“ (pagrįstas USB-C). Kol kas neaišku, ar problemų atsiranda įrenginiuose su USB 4 ir Thunderbolt 4, nes apie šias technologijas buvo pranešta tik dabar ir kol kas nėra galimybės išbandyti jų diegimo. Pažeidžiamumų negali pašalinti programinė įranga, todėl reikia perdaryti aparatinės įrangos komponentus. Tačiau kai kuriems naujiems įrenginiams naudojant šį mechanizmą galima blokuoti kai kurias su DMA susijusias problemas , kuriai parama pradėta diegti nuo 2019 m. „Linux“ branduolyje, pradedant 5.0 leidimu, galite patikrinti įtraukimą naudodami „/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection“).
Įrenginiams patikrinti pateikiamas Python scenarijus , kurį reikia paleisti kaip root norint pasiekti DMI, ACPI DMAR lentelę ir WMI. Norint apsaugoti pažeidžiamas sistemas, rekomenduojame nepalikti sistemos be priežiūros įjungtos arba budėjimo režime, neprijungti kieno nors kito „Thunderbolt“ įrenginių, nepalikti ir neatiduoti savo įrenginių kitiems ir užtikrinti, kad jūsų įrenginiai būtų fiziškai apsaugoti. Jei „Thunderbolt“ nereikia, rekomenduojama išjungti „Thunderbolt“ valdiklį UEFI arba BIOS (dėl to USB ir DisplayPort prievadai gali neveikti, jei jie įdiegti per „Thunderbolt“ valdiklį).
Šaltinis: opennet.ru