Informatii despre în echipamente cu interfață Thunderbolt, unite sub numele de cod și ocoliți toate componentele majore de securitate Thunderbolt. Pe baza problemelor identificate, sunt propuse nouă scenarii de atac, implementate dacă atacatorul are acces local la sistem prin conectarea unui dispozitiv rău intenționat sau manipularea firmware-ului.
Scenariile de atac includ abilitatea de a crea identificatori ale dispozitivelor Thunderbolt arbitrare, de a clona dispozitive autorizate, de a accesa aleatoriu memoria sistemului prin DMA și de a anula setările nivelului de securitate, inclusiv dezactivarea completă a tuturor mecanismelor de protecție, blocarea instalării actualizărilor de firmware și a traducerii interfeței în modul Thunderbolt. sisteme limitate la redirecționarea USB sau DisplayPort.
Thunderbolt este o interfață universală pentru conectarea dispozitivelor periferice care combină interfețele PCIe (PCI Express) și DisplayPort într-un singur cablu. Thunderbolt a fost dezvoltat de Intel și Apple și este folosit în multe laptop-uri și PC-uri moderne. Dispozitivele Thunderbolt bazate pe PCIe sunt prevăzute cu DMA I/O, ceea ce reprezintă amenințarea atacurilor DMA pentru a citi și scrie întreaga memorie a sistemului sau a captura date de pe dispozitive criptate. Pentru a preveni astfel de atacuri, Thunderbolt a propus conceptul de Niveluri de securitate, care permite utilizarea numai a dispozitivelor autorizate de utilizator și utilizează autentificarea criptografică a conexiunilor pentru a proteja împotriva falsificării ID-urilor.
Vulnerabilitățile identificate fac posibilă ocolirea unei astfel de legături și conectarea unui dispozitiv rău intenționat sub masca unuia autorizat. În plus, este posibil să se modifice firmware-ul și să comute SPI Flash în modul numai citire, care poate fi folosit pentru a dezactiva complet nivelurile de securitate și a interzice actualizările de firmware (utilități au fost pregătite pentru astfel de manipulări и ). În total, au fost dezvăluite informații despre șapte probleme:
- Utilizarea schemelor inadecvate de verificare a firmware-ului;
- Utilizarea unei scheme slabe de autentificare a dispozitivului;
- Încărcarea metadatelor de pe un dispozitiv neautentificat;
- Disponibilitatea mecanismelor de compatibilitate inversă care permit utilizarea atacurilor de tip rollback ;
- Utilizarea parametrilor de configurare a controlerului neautentificati;
- Glitches în interfața pentru SPI Flash;
- Lipsa echipamentului de protectie la nivel .
Vulnerabilitatea afectează toate dispozitivele echipate cu Thunderbolt 1 și 2 (bazat pe Mini DisplayPort) și Thunderbolt 3 (bazat pe USB-C). Nu este încă clar dacă apar probleme la dispozitivele cu USB 4 și Thunderbolt 4, deoarece aceste tehnologii tocmai au fost anunțate și nu există încă nicio modalitate de a testa implementarea lor. Vulnerabilitățile nu pot fi eliminate de software și necesită reproiectarea componentelor hardware. Cu toate acestea, pentru unele dispozitive noi este posibil să blocați unele dintre problemele asociate cu DMA folosind mecanismul , sprijin pentru care a început să fie implementat începând cu 2019 ( în nucleul Linux, începând cu versiunea 5.0, puteți verifica includerea prin „/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection”).
Este furnizat un script Python pentru a vă verifica dispozitivele , care necesită rularea ca root pentru a accesa DMI, tabelul ACPI DMAR și WMI. Pentru a proteja sistemele vulnerabile, vă recomandăm să nu lăsați sistemul nesupravegheat sau în modul de așteptare, să nu conectați dispozitivele Thunderbolt ale altcuiva, să nu lăsați și să nu oferiți dispozitivele altora și să vă asigurați că dispozitivele dvs. sunt securizate fizic. Dacă nu este necesar Thunderbolt, se recomandă dezactivarea controlerului Thunderbolt în UEFI sau BIOS (acest lucru poate face ca porturile USB și DisplayPort să nu funcționeze dacă sunt implementate printr-un controler Thunderbolt).
Sursa: opennet.ru