informácie o v zariadeniach s rozhraním Thunderbolt, zjednotených pod kódovým označením a obísť všetky hlavné bezpečnostné komponenty Thunderbolt. Na základe zistených problémov je navrhnutých deväť scenárov útoku, ktoré sa implementujú, ak má útočník lokálny prístup do systému prostredníctvom pripojenia škodlivého zariadenia alebo manipulácie s firmvérom.
Scenáre útoku zahŕňajú schopnosť vytvárať identifikátory ľubovoľných zariadení Thunderbolt, klonovať autorizované zariadenia, náhodný prístup do systémovej pamäte cez DMA a prepísať nastavenia úrovne zabezpečenia vrátane úplného zakázania všetkých mechanizmov ochrany, blokovania inštalácie aktualizácií firmvéru a prekladov rozhrania do režimu Thunderbolt na systémy obmedzené na presmerovanie cez USB alebo DisplayPort.
Thunderbolt je univerzálne rozhranie na pripojenie periférnych zariadení, ktoré v jednom kábli kombinuje rozhrania PCIe (PCI Express) a DisplayPort. Thunderbolt bol vyvinutý spoločnosťami Intel a Apple a používa sa v mnohých moderných notebookoch a počítačoch. Zariadenia Thunderbolt založené na PCIe sú vybavené DMA I/O, čo predstavuje hrozbu útokov DMA na čítanie a zápis celej systémovej pamäte alebo zachytávanie údajov zo šifrovaných zariadení. Aby sa zabránilo takýmto útokom, Thunderbolt navrhol koncept úrovní zabezpečenia, ktorý umožňuje používať iba zariadenia autorizované používateľom a na ochranu pred falšovaním ID využíva kryptografickú autentifikáciu pripojení.
Identifikované zraniteľnosti umožňujú obísť takúto väzbu a pripojiť škodlivé zariadenie pod rúškom autorizovaného. Okrem toho je možné upraviť firmvér a prepnúť SPI Flash do režimu len na čítanie, pomocou ktorého možno úplne vypnúť úrovne zabezpečenia a zakázať aktualizácie firmvéru (na takéto manipulácie sú pripravené nástroje и ). Celkovo boli zverejnené informácie o siedmich problémoch:
- Používanie neadekvátnych schém overovania firmvéru;
- Použitie slabej schémy overenia zariadenia;
- Načítanie metadát z neovereného zariadenia;
- Dostupnosť mechanizmov spätnej kompatibility, ktoré umožňujú použitie rollback útokov na ;
- Používanie neoverených konfiguračných parametrov ovládača;
- Závady v rozhraní pre SPI Flash;
- Nedostatok ochranných prostriedkov na úrovni .
Zraniteľnosť ovplyvňuje všetky zariadenia vybavené Thunderbolt 1 a 2 (založené na Mini DisplayPort) a Thunderbolt 3 (založené na USB-C). Zatiaľ nie je jasné, či sa problémy objavia aj v zariadeniach s USB 4 a Thunderbolt 4, keďže tieto technológie boli len nedávno oznámené a zatiaľ nie je možné otestovať ich implementáciu. Zraniteľnosť nie je možné odstrániť softvérom a vyžadujú prerobenie hardvérových komponentov. Pre niektoré nové zariadenia je však možné pomocou mechanizmu zablokovať niektoré problémy spojené s DMA , ktorej podpora sa začala realizovať od roku 2019 ( v jadre Linuxu, počnúc vydaním 5.0, môžete skontrolovať zahrnutie cez „/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection“).
Na kontrolu vašich zariadení je k dispozícii skript Python , ktorý vyžaduje spustenie ako root na prístup k DMI, ACPI DMAR tabuľke a WMI. Na ochranu zraniteľných systémov vám odporúčame nenechávať systém bez dozoru zapnutý alebo v pohotovostnom režime, nepripájať cudzie zariadenia Thunderbolt, neopúšťať ani nedávať svoje zariadenia iným a zabezpečiť, aby boli vaše zariadenia fyzicky zabezpečené. Ak Thunderbolt nie je potrebný, odporúča sa deaktivovať radič Thunderbolt v UEFI alebo BIOS (to môže spôsobiť, že porty USB a DisplayPort nebudú fungovať, ak sú implementované prostredníctvom radiča Thunderbolt).
Zdroj: opennet.ru