Information om i utrustning med ett Thunderbolt-gränssnitt, förenat under kodnamnet och kringgå alla viktiga Thunderbolt-säkerhetskomponenter. Baserat på de identifierade problemen föreslås nio attackscenarier, implementerade om angriparen har lokal åtkomst till systemet genom att ansluta en skadlig enhet eller manipulera den fasta programvaran.
Attackscenarier inkluderar möjligheten att skapa identifierare för godtyckliga Thunderbolt-enheter, klona auktoriserade enheter, slumpmässig tillgång till systemminnet via DMA och åsidosätta inställningarna för säkerhetsnivån, inklusive att helt inaktivera alla skyddsmekanismer, blockera installationen av firmwareuppdateringar och gränssnittsöversättningar till Thunderbolt-läge på system som är begränsade till USB- eller DisplayPort-vidarebefordran.
Thunderbolt är ett universellt gränssnitt för att ansluta kringutrustning som kombinerar PCIe (PCI Express) och DisplayPort-gränssnitt i en kabel. Thunderbolt utvecklades av Intel och Apple och används i många moderna bärbara datorer och datorer. PCIe-baserade Thunderbolt-enheter är försedda med DMA I/O, vilket utgör ett hot om DMA-attacker för att läsa och skriva hela systemminnet eller fånga data från krypterade enheter. För att förhindra sådana attacker föreslog Thunderbolt konceptet säkerhetsnivåer, som tillåter användning av endast användarauktoriserade enheter och använder kryptografisk autentisering av anslutningar för att skydda mot ID-förfalskning.
De identifierade sårbarheterna gör det möjligt att kringgå en sådan bindning och ansluta en skadlig enhet under sken av en auktoriserad. Dessutom är det möjligt att modifiera firmware och växla SPI Flash till skrivskyddat läge, vilket kan användas för att helt inaktivera säkerhetsnivåer och förbjuda firmwareuppdateringar (verktyg har förberetts för sådana manipulationer и ). Totalt avslöjades information om sju problem:
- Användning av otillräckliga system för verifiering av firmware;
- Använda ett svagt enhetsautentiseringsschema;
- Laddar metadata från en oautentiserad enhet;
- Tillgänglighet av bakåtkompatibilitetsmekanismer som tillåter användning av återställningsattacker på ;
- Använda oautentiserade styrenhetskonfigurationsparametrar;
- Fel i gränssnittet för SPI Flash;
- Brist på skyddsutrustning på nivån .
Sårbarheten påverkar alla enheter utrustade med Thunderbolt 1 och 2 (Mini DisplayPort-baserad) och Thunderbolt 3 (USB-C-baserad). Det är ännu inte klart om problem uppstår i enheter med USB 4 och Thunderbolt 4, eftersom dessa teknologier precis har tillkännagetts och det inte finns något sätt att testa deras implementering ännu. Sårbarheter kan inte elimineras med programvara och kräver omdesign av hårdvarukomponenter. För vissa nya enheter är det dock möjligt att blockera några av de problem som är förknippade med DMA med hjälp av mekanismen , stöd för vilket började implementeras med början 2019 ( i Linux-kärnan, från och med version 5.0, kan du kontrollera inkluderingen via "/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").
Ett Python-skript tillhandahålls för att kontrollera dina enheter , som kräver körning som root för att komma åt DMI, ACPI DMAR-tabell och WMI. För att skydda sårbara system rekommenderar vi att du inte lämnar systemet obevakat på eller i standby-läge, inte ansluter någon annans Thunderbolt-enheter, inte lämnar eller ger dina enheter till andra och ser till att dina enheter är fysiskt säkrade. Om Thunderbolt inte behövs rekommenderas det att inaktivera Thunderbolt-kontrollern i UEFI eller BIOS (detta kan göra att USB- och DisplayPort-portarna inte fungerar om de implementeras via en Thunderbolt-kontroller).
Källa: opennet.ru