Informacion rreth në pajisje me një ndërfaqe Thunderbolt, të bashkuar nën emrin e koduar dhe anashkaloni të gjithë komponentët kryesorë të sigurisë Thunderbolt. Bazuar në problemet e identifikuara, propozohen nëntë skenarë sulmi, të zbatuara nëse sulmuesi ka akses lokal në sistem përmes lidhjes së një pajisjeje me qëllim të keq ose manipulimit të firmuerit.
Skenarët e sulmit përfshijnë aftësinë për të krijuar identifikues të pajisjeve arbitrare Thunderbolt, klonimin e pajisjeve të autorizuara, aksesin e rastësishëm në memorien e sistemit nëpërmjet DMA dhe anulimin e cilësimeve të Nivelit të Sigurisë, duke përfshirë çaktivizimin e plotë të të gjithë mekanizmave mbrojtës, bllokimin e instalimit të përditësimeve të firmuerit dhe përkthimet e ndërfaqes në modalitetin Thunderbolt në sisteme të kufizuara në përcjelljen USB ose DisplayPort.
Thunderbolt është një ndërfaqe universale për lidhjen e pajisjeve periferike që kombinon ndërfaqet PCIe (PCI Express) dhe DisplayPort në një kabllo. Thunderbolt u zhvillua nga Intel dhe Apple dhe përdoret në shumë laptopë dhe PC moderne. Pajisjet Thunderbolt të bazuara në PCIe pajisen me DMA I/O, e cila paraqet kërcënimin e sulmeve DMA për të lexuar dhe shkruar të gjithë memorien e sistemit ose për të kapur të dhëna nga pajisjet e koduara. Për të parandaluar sulme të tilla, Thunderbolt propozoi konceptin e niveleve të sigurisë, i cili lejon përdorimin e vetëm pajisjeve të autorizuara nga përdoruesi dhe përdor vërtetimin kriptografik të lidhjeve për të mbrojtur kundër falsifikimit të ID.
Dobësitë e identifikuara bëjnë të mundur anashkalimin e një lidhjeje të tillë dhe lidhjen e një pajisjeje me qëllim të keq nën maskën e një të autorizuari. Për më tepër, është e mundur të modifikoni firmuerin dhe të kaloni SPI Flash në modalitetin vetëm për lexim, i cili mund të përdoret për të çaktivizuar plotësisht nivelet e sigurisë dhe për të ndaluar përditësimet e firmuerit (shërbimet janë përgatitur për manipulime të tilla и ). Në total, u zbuluan informacione për shtatë probleme:
- Përdorimi i skemave joadekuate të verifikimit të firmuerit;
- Përdorimi i një skeme të dobët të vërtetimit të pajisjes;
- Ngarkimi i meta të dhënave nga një pajisje e paautenifikuar;
- Disponueshmëria e mekanizmave të përputhshmërisë së prapambetur që lejojnë përdorimin e sulmeve të kthimit në ;
- Përdorimi i parametrave të konfigurimit të kontrolluesit të paautentikuar;
- Defekte në ndërfaqen për SPI Flash;
- Mungesa e pajisjeve mbrojtëse në nivel .
Dobësia prek të gjitha pajisjet e pajisura me Thunderbolt 1 dhe 2 (bazuar në Mini DisplayPort) dhe Thunderbolt 3 (me bazë USB-C). Nuk është ende e qartë nëse shfaqen probleme në pajisjet me USB 4 dhe Thunderbolt 4, pasi këto teknologji sapo janë shpallur dhe nuk ka ende asnjë mënyrë për të testuar zbatimin e tyre. Dobësitë nuk mund të eliminohen nga softueri dhe kërkojnë ridizajnim të komponentëve harduerikë. Megjithatë, për disa pajisje të reja është e mundur të bllokohen disa nga problemet që lidhen me DMA duke përdorur mekanizmin , mbështetja për të cilën filloi të zbatohet duke filluar nga viti 2019 ( në kernelin Linux, duke filluar me lëshimin 5.0, mund të kontrolloni përfshirjen përmes "/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").
Një skript Python ofrohet për të kontrolluar pajisjet tuaja , e cila kërkon ekzekutimin si rrënjë për të hyrë në DMI, tabelën ACPI DMAR dhe WMI. Për të mbrojtur sistemet e cenueshme, ju rekomandojmë që të mos e lini sistemin pa mbikëqyrje të ndezur ose në modalitetin e gatishmërisë, të mos lidhni pajisjet Thunderbolt të dikujt tjetër, të mos i lini ose t'ua jepni pajisjet të tjerëve dhe të siguroheni që pajisjet tuaja të jenë të siguruara fizikisht. Nëse Thunderbolt nuk është i nevojshëm, rekomandohet të çaktivizoni kontrolluesin Thunderbolt në UEFI ose BIOS (kjo mund të bëjë që portat USB dhe DisplayPort të mos funksionojnë nëse ato zbatohen nëpërmjet një kontrolluesi Thunderbolt).
Burimi: opennet.ru