Informatie over in apparatuur met een Thunderbolt-interface, verenigd onder de codenaam en omzeil alle belangrijke Thunderbolt-beveiligingscomponenten. Op basis van de geïdentificeerde problemen worden negen aanvalsscenario’s voorgesteld, geïmplementeerd als de aanvaller lokale toegang tot het systeem heeft door een kwaadaardig apparaat aan te sluiten of de firmware te manipuleren.
Aanvalsscenario's omvatten de mogelijkheid om identificatiegegevens van willekeurige Thunderbolt-apparaten te creëren, geautoriseerde apparaten te klonen, willekeurige toegang tot het systeemgeheugen via DMA en het overschrijven van beveiligingsniveau-instellingen, inclusief het volledig uitschakelen van alle beveiligingsmechanismen, het blokkeren van de installatie van firmware-updates en interfacevertalingen naar de Thunderbolt-modus aan systemen beperkt tot USB- of DisplayPort-forwarding.
Thunderbolt is een universele interface voor het aansluiten van randapparaten die PCIe (PCI Express) en DisplayPort-interfaces in één kabel combineert. Thunderbolt is ontwikkeld door Intel en Apple en wordt gebruikt in veel moderne laptops en pc's. Op PCIe gebaseerde Thunderbolt-apparaten zijn voorzien van DMA I/O, wat de dreiging van DMA-aanvallen met zich meebrengt om het volledige systeemgeheugen te lezen en te schrijven of gegevens van gecodeerde apparaten vast te leggen. Om dergelijke aanvallen te voorkomen heeft Thunderbolt het concept van beveiligingsniveaus voorgesteld, dat het gebruik van alleen door de gebruiker geautoriseerde apparaten toestaat en cryptografische authenticatie van verbindingen gebruikt om te beschermen tegen ID-vervalsing.
De geïdentificeerde kwetsbaarheden maken het mogelijk om een dergelijke binding te omzeilen en een kwaadaardig apparaat aan te sluiten onder het mom van een geautoriseerd apparaat. Bovendien is het mogelijk om de firmware te wijzigen en de SPI Flash in de alleen-lezen-modus te zetten, wat kan worden gebruikt om beveiligingsniveaus volledig uit te schakelen en firmware-updates te verbieden (hulpprogramma's zijn voorbereid op dergelijke manipulaties и ). In totaal werd informatie over zeven problemen bekendgemaakt:
- Gebruik van ontoereikende firmwareverificatieschema's;
- Een zwak apparaatauthenticatieschema gebruiken;
- Metagegevens laden vanaf een niet-geverifieerd apparaat;
- Beschikbaarheid van achterwaartse compatibiliteitsmechanismen die het gebruik van rollback-aanvallen op ;
- Gebruik van niet-geverifieerde controllerconfiguratieparameters;
- Glitches in de interface voor SPI Flash;
- Gebrek aan beschermende uitrusting op dit niveau .
De kwetsbaarheid treft alle apparaten die zijn uitgerust met Thunderbolt 1 en 2 (op basis van Mini DisplayPort) en Thunderbolt 3 (op basis van USB-C). Het is nog niet duidelijk of er problemen optreden bij apparaten met USB 4 en Thunderbolt 4, aangezien deze technologieën nog maar net zijn aangekondigd en er nog geen manier is om de implementatie ervan te testen. Kwetsbaarheden kunnen niet door software worden geëlimineerd en vereisen een herontwerp van hardwarecomponenten. Voor sommige nieuwe apparaten is het echter mogelijk om enkele van de problemen die verband houden met DMA te blokkeren met behulp van dit mechanisme , waarvoor vanaf 2019 steun werd verleend ( in de Linux-kernel kun je vanaf release 5.0 de opname controleren via “/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection”).
Er is een Python-script beschikbaar om uw apparaten te controleren , waarvoor het als root moet worden uitgevoerd om toegang te krijgen tot DMI, ACPI DMAR-tabel en WMI. Om kwetsbare systemen te beschermen, raden wij u aan het systeem niet onbeheerd aan of in de stand-bymodus te laten, geen Thunderbolt-apparaten van iemand anders aan te sluiten, uw apparaten niet aan anderen achter te laten of aan anderen te geven, en ervoor te zorgen dat uw apparaten fysiek beveiligd zijn. Als Thunderbolt niet nodig is, is het raadzaam om de Thunderbolt-controller in de UEFI of BIOS uit te schakelen (dit kan ertoe leiden dat de USB- en DisplayPort-poorten niet werken als deze via een Thunderbolt-controller zijn geïmplementeerd).
Bron: opennet.ru