Informacja o w sprzęcie z interfejsem Thunderbolt, zjednoczonych pod nazwą kodową i omiń wszystkie główne komponenty bezpieczeństwa Thunderbolt. Na podstawie zidentyfikowanych problemów zaproponowano dziewięć scenariuszy ataku, które można wdrożyć, jeśli atakujący uzyska lokalny dostęp do systemu poprzez podłączenie złośliwego urządzenia lub manipulację oprogramowaniem.
Scenariusze ataku obejmują możliwość tworzenia identyfikatorów dowolnych urządzeń Thunderbolt, klonowanie autoryzowanych urządzeń, losowy dostęp do pamięci systemowej poprzez DMA i obejście ustawień poziomu bezpieczeństwa, w tym całkowite wyłączenie wszystkich mechanizmów ochronnych, zablokowanie instalacji aktualizacji oprogramowania sprzętowego i translacji interfejsu do trybu Thunderbolt na systemy ograniczone do przekazywania przez USB lub DisplayPort.
Thunderbolt to uniwersalny interfejs do podłączania urządzeń peryferyjnych, który łączy interfejsy PCIe (PCI Express) i DisplayPort w jednym kablu. Thunderbolt został opracowany przez firmy Intel i Apple i jest używany w wielu nowoczesnych laptopach i komputerach stacjonarnych. Urządzenia Thunderbolt oparte na PCIe są wyposażone we/wy DMA, co stwarza zagrożenie atakami DMA mającymi na celu odczyt i zapis całej pamięci systemowej lub przechwytywanie danych z zaszyfrowanych urządzeń. Aby zapobiec takim atakom, Thunderbolt zaproponował koncepcję Poziomów Bezpieczeństwa, która pozwala na korzystanie wyłącznie z urządzeń autoryzowanych przez użytkownika i wykorzystuje kryptograficzne uwierzytelnianie połączeń w celu ochrony przed fałszowaniem identyfikatorów.
Zidentyfikowane luki umożliwiają ominięcie takiego powiązania i podłączenie złośliwego urządzenia pod przykrywką autoryzowanego urządzenia. Ponadto istnieje możliwość modyfikacji oprogramowania sprzętowego i przełączenia SPI Flash w tryb tylko do odczytu, za pomocą którego można całkowicie wyłączyć poziomy bezpieczeństwa i zabronić aktualizacji oprogramowania sprzętowego (narzędzia zostały przygotowane do takich manipulacji и ). W sumie ujawniono informacje o siedmiu problemach:
- Stosowanie nieodpowiednich schematów weryfikacji oprogramowania sprzętowego;
- Korzystanie ze słabego schematu uwierzytelniania urządzenia;
- Ładowanie metadanych z nieuwierzytelnionego urządzenia;
- Dostępność mechanizmów kompatybilności wstecznej, które umożliwiają stosowanie ataków typu rollback na ;
- Korzystanie z nieuwierzytelnionych parametrów konfiguracyjnych kontrolera;
- Błędy w interfejsie SPI Flash;
- Brak sprzętu ochronnego na poziomie .
Luka dotyczy wszystkich urządzeń wyposażonych w Thunderbolt 1 i 2 (oparty na Mini DisplayPort) oraz Thunderbolt 3 (oparty na USB-C). Nie jest jeszcze jasne, czy problemy pojawią się w urządzeniach z USB 4 i Thunderbolt 4, ponieważ technologie te dopiero zostały ogłoszone i nie ma jeszcze możliwości przetestowania ich implementacji. Luki nie mogą zostać wyeliminowane za pomocą oprogramowania i wymagają przeprojektowania komponentów sprzętowych. Jednak w przypadku niektórych nowych urządzeń istnieje możliwość zablokowania części problemów związanych z DMA za pomocą tego mechanizmu , którego wsparcie zaczęto realizować począwszy od 2019 r. ( w jądrze Linuksa, począwszy od wersji 5.0, możesz sprawdzić włączenie poprzez „/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection”).
Do sprawdzania urządzeń dostępny jest skrypt Pythona , który wymaga uruchomienia jako root, aby uzyskać dostęp do DMI, tabeli ACPI DMAR i WMI. Aby chronić podatne na ataki systemy, zalecamy, aby nie pozostawiać systemu w trybie gotowości lub w trybie gotowości bez nadzoru, nie podłączać cudzych urządzeń Thunderbolt, nie pozostawiać ani nie przekazywać swoich urządzeń innym osobom oraz upewnić się, że urządzenia są fizycznie zabezpieczone. Jeśli Thunderbolt nie jest potrzebny, zaleca się wyłączenie kontrolera Thunderbolt w UEFI lub BIOS (może to spowodować, że porty USB i DisplayPort nie będą działać, jeśli są zaimplementowane za pośrednictwem kontrolera Thunderbolt).
Źródło: opennet.ru