informação sobre em equipamentos com interface Thunderbolt, unidos sob o codinome e ignorar todos os principais componentes de segurança do Thunderbolt. Com base nos problemas identificados, são propostos nove cenários de ataque, implementados caso o invasor tenha acesso local ao sistema através da conexão de um dispositivo malicioso ou da manipulação do firmware.
Os cenários de ataque incluem a capacidade de criar identificadores de dispositivos Thunderbolt arbitrários, clonar dispositivos autorizados, acesso aleatório à memória do sistema via DMA e substituir configurações de nível de segurança, incluindo desabilitar completamente todos os mecanismos de proteção, bloquear a instalação de atualizações de firmware e traduções de interface para o modo Thunderbolt ativado. sistemas limitados ao encaminhamento USB ou DisplayPort.
Thunderbolt é uma interface universal para conectar dispositivos periféricos que combina interfaces PCIe (PCI Express) e DisplayPort em um único cabo. Thunderbolt foi desenvolvido pela Intel e Apple e é usado em muitos laptops e PCs modernos. Os dispositivos Thunderbolt baseados em PCIe são fornecidos com E/S DMA, o que representa a ameaça de ataques DMA para ler e gravar toda a memória do sistema ou capturar dados de dispositivos criptografados. Para evitar tais ataques, Thunderbolt propôs o conceito de Níveis de Segurança, que permite o uso apenas de dispositivos autorizados pelo usuário e utiliza autenticação criptográfica de conexões para proteção contra falsificação de identidade.
As vulnerabilidades identificadas permitem contornar tal ligação e conectar um dispositivo malicioso sob o disfarce de um dispositivo autorizado. Além disso, é possível modificar o firmware e mudar o SPI Flash para o modo somente leitura, que pode ser usado para desabilitar completamente os níveis de segurança e proibir atualizações de firmware (utilitários foram preparados para tais manipulações и ). No total, foram divulgadas informações sobre sete problemas:
- Uso de esquemas inadequados de verificação de firmware;
- Usando um esquema de autenticação de dispositivo fraco;
- Carregando metadados de um dispositivo não autenticado;
- Disponibilidade de mecanismos de compatibilidade com versões anteriores que permitem o uso de ataques de reversão em ;
- Usando parâmetros de configuração de controlador não autenticados;
- Falhas na interface do SPI Flash;
- Falta de equipamento de proteção ao nível .
A vulnerabilidade afeta todos os dispositivos equipados com Thunderbolt 1 e 2 (baseado em Mini DisplayPort) e Thunderbolt 3 (baseado em USB-C). Ainda não está claro se problemas aparecem em dispositivos com USB 4 e Thunderbolt 4, uma vez que essas tecnologias acabaram de ser anunciadas e ainda não há como testar sua implementação. As vulnerabilidades não podem ser eliminadas pelo software e exigem o redesenho dos componentes de hardware. No entanto, para alguns dispositivos novos é possível bloquear alguns dos problemas associados ao DMA utilizando o mecanismo , cujo apoio começou a ser implementado a partir de 2019 ( no kernel Linux, a partir da versão 5.0, você pode verificar a inclusão via “/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection”).
Um script Python é fornecido para verificar seus dispositivos , que requer execução como root para acessar DMI, tabela ACPI DMAR e WMI. Para proteger sistemas vulneráveis, recomendamos que você não deixe o sistema sem supervisão ou em modo de espera, não conecte dispositivos Thunderbolt de outra pessoa, não deixe ou entregue seus dispositivos a terceiros e garanta que seus dispositivos estejam fisicamente protegidos. Se o Thunderbolt não for necessário, é recomendável desabilitar o controlador Thunderbolt no UEFI ou BIOS (isso pode fazer com que as portas USB e DisplayPort não funcionem se forem implementadas por meio de um controlador Thunderbolt).
Fonte: opennet.ru