Informasjon om i utstyr med et Thunderbolt-grensesnitt, samlet under kodenavnet og omgå alle viktige Thunderbolt-sikkerhetskomponenter. Basert på de identifiserte problemene, foreslås ni angrepsscenarier, implementert hvis angriperen har lokal tilgang til systemet gjennom å koble til en ondsinnet enhet eller manipulere fastvaren.
Angrepsscenarier inkluderer muligheten til å lage identifikatorer for vilkårlige Thunderbolt-enheter, klone autoriserte enheter, tilfeldig tilgang til systemminne via DMA og overstyre sikkerhetsnivåinnstillinger, inkludert fullstendig deaktivering av alle beskyttelsesmekanismer, blokkering av installasjon av fastvareoppdateringer og grensesnittoversettelser til Thunderbolt-modus på systemer begrenset til USB- eller DisplayPort-videresending.
Thunderbolt er et universelt grensesnitt for tilkobling av eksterne enheter som kombinerer PCIe (PCI Express) og DisplayPort-grensesnitt i én kabel. Thunderbolt ble utviklet av Intel og Apple og brukes i mange moderne bærbare og PC-er. PCIe-baserte Thunderbolt-enheter er utstyrt med DMA I/O, som utgjør trusselen om DMA-angrep for å lese og skrive hele systemminnet eller fange data fra krypterte enheter. For å forhindre slike angrep foreslo Thunderbolt konseptet med sikkerhetsnivåer, som tillater bruk av kun brukerautoriserte enheter og bruker kryptografisk autentisering av tilkoblinger for å beskytte mot ID-forfalskning.
De identifiserte sårbarhetene gjør det mulig å omgå en slik binding og koble til en ondsinnet enhet under dekke av en autorisert. I tillegg er det mulig å modifisere fastvaren og bytte SPI Flash til skrivebeskyttet modus, som kan brukes til å deaktivere sikkerhetsnivåer fullstendig og forby fastvareoppdateringer (verktøy er forberedt for slike manipulasjoner и ). Totalt ble informasjon om syv problemer avslørt:
- Bruk av utilstrekkelige fastvareverifiseringsordninger;
- Bruke et svakt enhetsautentiseringsskjema;
- Laster metadata fra en uautentisert enhet;
- Tilgjengelighet av bakoverkompatibilitetsmekanismer som tillater bruk av tilbakeføringsangrep på ;
- Bruk av uautentiserte kontrollerkonfigurasjonsparametere;
- Feil i grensesnittet for SPI Flash;
- Mangel på verneutstyr på nivået .
Sårbarheten påvirker alle enheter utstyrt med Thunderbolt 1 og 2 (Mini DisplayPort-basert) og Thunderbolt 3 (USB-C-basert). Det er ennå ikke klart om det oppstår problemer i enheter med USB 4 og Thunderbolt 4, siden disse teknologiene nettopp har blitt annonsert og det ikke er mulig å teste implementeringen deres ennå. Sårbarheter kan ikke elimineres med programvare og krever redesign av maskinvarekomponenter. For noen nye enheter er det imidlertid mulig å blokkere noen av problemene knyttet til DMA ved å bruke mekanismen , støtte som begynte å bli implementert fra og med 2019 ( i Linux-kjernen, fra og med versjon 5.0, kan du sjekke inkluderingen via "/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").
Et Python-skript er gitt for å sjekke enhetene dine , som krever kjøring som root for å få tilgang til DMI, ACPI DMAR-tabell og WMI. For å beskytte sårbare systemer, anbefaler vi at du ikke lar systemet være uten tilsyn på eller i standby-modus, ikke kobler til andres Thunderbolt-enheter, ikke forlater eller gir enhetene dine til andre, og sørger for at enhetene dine er fysisk sikret. Hvis Thunderbolt ikke er nødvendig, anbefales det å deaktivere Thunderbolt-kontrolleren i UEFI eller BIOS (dette kan føre til at USB- og DisplayPort-portene ikke fungerer hvis de implementeres via en Thunderbolt-kontroller).
Kilde: opennet.ru