Informacije o v opremi z vmesnikom Thunderbolt, združeni pod kodnim imenom in obide vse glavne varnostne komponente Thunderbolt. Na podlagi ugotovljenih težav je predlaganih devet scenarijev napada, ki se izvajajo, če ima napadalec lokalni dostop do sistema s povezavo zlonamerne naprave ali manipulacijo vdelane programske opreme.
Scenariji napadov vključujejo zmožnost ustvarjanja identifikatorjev poljubnih naprav Thunderbolt, kloniranje pooblaščenih naprav, naključni dostop do sistemskega pomnilnika prek DMA in preglasitev nastavitev ravni varnosti, vključno s popolnim onemogočanjem vseh zaščitnih mehanizmov, blokiranjem namestitve posodobitev vdelane programske opreme in prevodov vmesnika v način Thunderbolt na sistemi, omejeni na posredovanje USB ali DisplayPort.
Thunderbolt je univerzalni vmesnik za povezovanje perifernih naprav, ki v enem kablu združuje vmesnika PCIe (PCI Express) in DisplayPort. Thunderbolt sta razvila Intel in Apple in se uporablja v številnih sodobnih prenosnih in osebnih računalnikih. Naprave Thunderbolt, ki temeljijo na PCIe, imajo vhod/izhod DMA, kar predstavlja grožnjo napadov DMA za branje in pisanje celotnega sistemskega pomnilnika ali zajemanje podatkov iz šifriranih naprav. Da bi preprečil takšne napade, je Thunderbolt predlagal koncept varnostnih ravni, ki omogoča uporabo samo uporabniško avtoriziranih naprav in uporablja kriptografsko avtentikacijo povezav za zaščito pred ponarejanjem ID-ja.
Identificirane ranljivosti omogočajo obhod takšne vezave in povezavo zlonamerne naprave pod krinko pooblaščene. Poleg tega je mogoče spremeniti vdelano programsko opremo in preklopiti SPI Flash v način samo za branje, s katerim lahko popolnoma onemogočite varnostne ravni in prepoveste posodobitve vdelane programske opreme (pripomočki so bili pripravljeni za takšne manipulacije и ). Skupno so bile razkrite informacije o sedmih težavah:
- Uporaba neustreznih shem preverjanja vdelane programske opreme;
- Uporaba šibke sheme za preverjanje pristnosti naprave;
- Nalaganje metapodatkov iz nepreverjene naprave;
- Razpoložljivost mehanizmov povratne združljivosti, ki omogočajo uporabo napadov povrnitve nazaj ;
- Uporaba nepreverjenih konfiguracijskih parametrov krmilnika;
- Napake v vmesniku za SPI Flash;
- Pomanjkanje zaščitne opreme na ravni .
Ranljivost vpliva na vse naprave, opremljene s Thunderbolt 1 in 2 (na osnovi Mini DisplayPort) in Thunderbolt 3 (na osnovi USB-C). Ni še jasno, ali se težave pojavljajo v napravah z USB 4 in Thunderbolt 4, saj sta bili ti tehnologiji šele objavljeni in še ni mogoče preizkusiti njihove implementacije. Ranljivosti ni mogoče odpraviti s programsko opremo in zahtevajo prenovo komponent strojne opreme. Vendar pa je pri nekaterih novih napravah mogoče z uporabo mehanizma blokirati nekatere težave, povezane z DMA , katerega podpora se je začela izvajati v letu 2019 ( v jedru Linuxa, začenši z izdajo 5.0, lahko vključitev preverite prek »/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection«).
Na voljo je skript Python za preverjanje vaših naprav , ki zahteva izvajanje kot root za dostop do DMI, tabele ACPI DMAR in WMI. Za zaščito ranljivih sistemov priporočamo, da sistema ne puščate brez nadzora vklopljenega ali v stanju pripravljenosti, ne povezujete naprav Thunderbolt nekoga drugega, svojih naprav ne puščate ali dajate drugim in zagotovite, da so vaše naprave fizično zavarovane. Če Thunderbolt ni potreben, je priporočljivo onemogočiti krmilnik Thunderbolt v UEFI ali BIOS-u (to lahko povzroči, da vrata USB in DisplayPort ne delujejo, če so implementirana prek krmilnika Thunderbolt).
Vir: opennet.ru