Hakkında bilgi kod adı altında birleştirilmiş Thunderbolt arayüzüne sahip ekipmanlarda ve tüm önemli Thunderbolt güvenlik bileşenlerini atlayın. Belirlenen sorunlara dayanarak, saldırganın kötü amaçlı bir cihaz bağlayarak veya ürün yazılımını manipüle ederek sisteme yerel erişimi olması durumunda uygulanan dokuz saldırı senaryosu önerildi.
Saldırı senaryoları, rastgele Thunderbolt cihazlarının tanımlayıcılarını oluşturma, yetkili cihazları klonlama, DMA aracılığıyla sistem belleğine rastgele erişim ve tüm koruma mekanizmalarının tamamen devre dışı bırakılması, cihaz yazılımı güncellemelerinin kurulumunun engellenmesi ve Thunderbolt moduna arayüz çevirilerinin engellenmesi de dahil olmak üzere Güvenlik Düzeyi ayarlarını geçersiz kılma yeteneğini içerir. USB veya DisplayPort iletmeyle sınırlı sistemler.
Thunderbolt, PCIe (PCI Express) ve DisplayPort arayüzlerini tek bir kabloda birleştiren çevresel aygıtları bağlamak için evrensel bir arayüzdür. Thunderbolt, Intel ve Apple tarafından geliştirilmiştir ve birçok modern dizüstü ve kişisel bilgisayarda kullanılmaktadır. PCIe tabanlı Thunderbolt cihazları, tüm sistem belleğini okumak ve yazmak veya şifrelenmiş cihazlardan veri yakalamak için DMA saldırıları tehdidi oluşturan DMA I/O ile sağlanır. Bu tür saldırıları önlemek için Thunderbolt, yalnızca kullanıcı tarafından yetkilendirilen cihazların kullanımına izin veren ve kimlik sahteciliğine karşı koruma sağlamak için bağlantıların kriptografik kimlik doğrulamasını kullanan Güvenlik Düzeyleri kavramını önerdi.
Belirlenen güvenlik açıkları, böyle bir bağlamanın atlanmasına ve kötü amaçlı bir cihazın yetkili bir cihaz kisvesi altında bağlanmasına olanak tanır. Ek olarak, ürün yazılımını değiştirmek ve SPI Flash'ı salt okunur moda geçirmek mümkündür; bu, güvenlik seviyelerini tamamen devre dışı bırakmak ve ürün yazılımı güncellemelerini yasaklamak için kullanılabilir (bu tür manipülasyonlar için yardımcı programlar hazırlanmıştır) и ). Toplamda yedi sorun hakkında bilgi açıklandı:
- Yetersiz ürün yazılımı doğrulama şemalarının kullanılması;
- Zayıf bir cihaz kimlik doğrulama şeması kullanma;
- Kimliği doğrulanmamış bir cihazdan meta veri yükleme;
- Geri alma saldırılarının kullanılmasına izin veren geriye dönük uyumluluk mekanizmalarının varlığı ;
- Kimliği doğrulanmamış denetleyici yapılandırma parametrelerinin kullanılması;
- SPI Flash arayüzündeki aksaklıklar;
- düzeyde koruyucu ekipman eksikliği .
Güvenlik açığı, Thunderbolt 1 ve 2 (Mini DisplayPort tabanlı) ve Thunderbolt 3 (USB-C tabanlı) ile donatılmış tüm cihazları etkilemektedir. USB 4 ve Thunderbolt 4'e sahip cihazlarda sorun olup olmadığı henüz belli değil çünkü bu teknolojiler henüz yeni duyuruldu ve uygulamalarını test etmenin henüz bir yolu yok. Güvenlik açıkları yazılımla giderilemez ve donanım bileşenlerinin yeniden tasarlanmasını gerektirir. Ancak bazı yeni cihazlarda DMA ile ilgili sorunların bir kısmını mekanizmayı kullanarak engellemek mümkündür. 2019 yılından itibaren destek uygulanmaya başlanan ( Linux çekirdeğinde, 5.0 sürümünden başlayarak, dahil olup olmadığını “/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection” yoluyla kontrol edebilirsiniz.
Cihazlarınızı kontrol etmek için bir Python betiği sağlanmıştır DMI, ACPI DMAR tablosu ve WMI'ya erişmek için root olarak çalıştırmayı gerektirir. Savunmasız sistemleri korumak için sisteminizi açık veya bekleme modunda bırakmamanızı, başkasının Thunderbolt cihazlarını bağlamamanızı, cihazlarınızı başkalarına bırakmamanızı veya devretmemenizi ve cihazlarınızın fiziksel olarak güvende olduğundan emin olmanızı öneririz. Thunderbolt'a ihtiyaç duyulmuyorsa UEFI veya BIOS'ta Thunderbolt denetleyicisinin devre dışı bırakılması önerilir (bu, Thunderbolt denetleyicisi aracılığıyla uygulanırsa USB ve DisplayPort bağlantı noktalarının çalışmamasına neden olabilir).
Kaynak: opennet.ru