ข้อมูลเกี่ยวกับ ในอุปกรณ์ที่มีอินเทอร์เฟซ Thunderbolt รวมกันภายใต้ชื่อรหัส และข้ามส่วนประกอบด้านความปลอดภัย Thunderbolt หลักทั้งหมด จากปัญหาที่ระบุ มีการเสนอสถานการณ์การโจมตีเก้าสถานการณ์ โดยจะดำเนินการหากผู้โจมตีสามารถเข้าถึงระบบภายในเครื่องผ่านการเชื่อมต่ออุปกรณ์ที่เป็นอันตรายหรือจัดการเฟิร์มแวร์
สถานการณ์การโจมตีรวมถึงความสามารถในการสร้างตัวระบุอุปกรณ์ Thunderbolt โดยพลการ การโคลนอุปกรณ์ที่ได้รับอนุญาต การเข้าถึงหน่วยความจำระบบโดยสุ่มผ่าน DMA และแทนที่การตั้งค่าระดับความปลอดภัย รวมถึงการปิดใช้งานกลไกการป้องกันทั้งหมดอย่างสมบูรณ์ การบล็อกการติดตั้งการอัปเดตเฟิร์มแวร์ และการแปลอินเทอร์เฟซเป็นโหมด Thunderbolt ที่เปิดอยู่ ระบบจำกัดเฉพาะการส่งต่อ USB หรือการส่งต่อ DisplayPort
Thunderbolt เป็นอินเทอร์เฟซสากลสำหรับเชื่อมต่ออุปกรณ์ต่อพ่วงที่รวมอินเทอร์เฟซ PCIe (PCI Express) และ DisplayPort ไว้ในสายเคเบิลเส้นเดียว Thunderbolt ได้รับการพัฒนาโดย Intel และ Apple และใช้ในแล็ปท็อปและพีซีสมัยใหม่หลายรุ่น อุปกรณ์ Thunderbolt ที่ใช้ PCIe มาพร้อมกับ DMA I/O ซึ่งก่อให้เกิดภัยคุกคามจากการโจมตี DMA เพื่ออ่านและเขียนหน่วยความจำระบบทั้งหมดหรือบันทึกข้อมูลจากอุปกรณ์ที่เข้ารหัส เพื่อป้องกันการโจมตีดังกล่าว Thunderbolt ได้เสนอแนวคิดระดับความปลอดภัย ซึ่งอนุญาตให้ใช้เฉพาะอุปกรณ์ที่ได้รับอนุญาตจากผู้ใช้เท่านั้น และใช้การรับรองความถูกต้องด้วยการเข้ารหัสลับของการเชื่อมต่อเพื่อป้องกันการปลอมแปลง ID
ช่องโหว่ที่ระบุทำให้สามารถข้ามการเชื่อมโยงดังกล่าวและเชื่อมต่ออุปกรณ์ที่เป็นอันตรายภายใต้หน้ากากของอุปกรณ์ที่ได้รับอนุญาต นอกจากนี้ยังสามารถปรับเปลี่ยนเฟิร์มแวร์และเปลี่ยน SPI Flash เป็นโหมดอ่านอย่างเดียวซึ่งสามารถใช้เพื่อปิดการใช้งานระดับความปลอดภัยอย่างสมบูรณ์และห้ามการอัพเดตเฟิร์มแวร์ (ยูทิลิตี้ได้เตรียมไว้สำหรับการปรับเปลี่ยนดังกล่าว и ). มีการเปิดเผยข้อมูลเกี่ยวกับปัญหา XNUMX ประการ:
- การใช้แผนการตรวจสอบเฟิร์มแวร์ที่ไม่เพียงพอ
- การใช้รูปแบบการรับรองความถูกต้องของอุปกรณ์ที่อ่อนแอ
- กำลังโหลดข้อมูลเมตาจากอุปกรณ์ที่ไม่ผ่านการรับรองความถูกต้อง
- ความพร้อมใช้งานของกลไกความเข้ากันได้แบบย้อนหลังที่อนุญาตให้ใช้การโจมตีแบบย้อนกลับได้ ;
- การใช้พารามิเตอร์การกำหนดค่าคอนโทรลเลอร์ที่ไม่ได้รับการรับรองความถูกต้อง
- ข้อบกพร่องในอินเทอร์เฟซสำหรับ SPI Flash;
- ขาดอุปกรณ์ป้องกันในระดับหนึ่ง .
ช่องโหว่นี้ส่งผลกระทบต่ออุปกรณ์ทั้งหมดที่ติดตั้ง Thunderbolt 1 และ 2 (แบบ Mini DisplayPort) และ Thunderbolt 3 (แบบ USB-C) ยังไม่ชัดเจนว่าปัญหาเกิดขึ้นในอุปกรณ์ที่มี USB 4 และ Thunderbolt 4 หรือไม่ เนื่องจากเทคโนโลยีเหล่านี้เพิ่งได้รับการประกาศและยังไม่มีวิธีทดสอบการใช้งาน ซอฟต์แวร์ไม่สามารถกำจัดช่องโหว่ได้ และจำเป็นต้องออกแบบส่วนประกอบฮาร์ดแวร์ใหม่ อย่างไรก็ตาม สำหรับอุปกรณ์ใหม่บางรุ่น คุณสามารถบล็อกปัญหาบางอย่างที่เกี่ยวข้องกับ DMA ได้โดยใช้กลไกนี้ การสนับสนุนซึ่งเริ่มดำเนินการตั้งแต่ปี 2019 ( ในเคอร์เนล Linux ตั้งแต่รุ่น 5.0 เป็นต้นไป คุณสามารถตรวจสอบการรวมผ่าน “/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection”)
มีสคริปต์ Python เพื่อตรวจสอบอุปกรณ์ของคุณ ซึ่งต้องใช้การทำงานเป็นรูทเพื่อเข้าถึงตาราง DMI, ACPI DMAR และ WMI เพื่อปกป้องระบบที่มีช่องโหว่ เราขอแนะนำไม่ให้คุณเปิดระบบทิ้งไว้หรืออยู่ในโหมดสแตนด์บายโดยไม่มีใครดูแล อย่าเชื่อมต่ออุปกรณ์ Thunderbolt ของผู้อื่น อย่าทิ้งหรือมอบอุปกรณ์ของคุณให้กับผู้อื่น และตรวจสอบให้แน่ใจว่าอุปกรณ์ของคุณมีความปลอดภัยทางกายภาพ หากไม่จำเป็นต้องใช้ Thunderbolt ขอแนะนำให้ปิดการใช้งานคอนโทรลเลอร์ Thunderbolt ใน UEFI หรือ BIOS (ซึ่งอาจทำให้พอร์ต USB และ DisplayPort ไม่ทำงานหากใช้งานผ่านคอนโทรลเลอร์ Thunderbolt)
ที่มา: opennet.ru