攻击场景包括创建任意 Thunderbolt 设备的标识符、克隆授权设备、通过 DMA 随机访问系统内存以及覆盖安全级别设置,包括完全禁用所有保护机制、阻止安装固件更新以及将接口转换为 Thunderbolt 模式。系统仅限于 USB 或 DisplayPort 转发。
Thunderbolt 是一种用于连接外围设备的通用接口,在一根电缆中结合了 PCIe (PCI Express) 和 DisplayPort 接口。 Thunderbolt 由英特尔和苹果开发,用于许多现代笔记本电脑和个人电脑。 基于 PCIe 的 Thunderbolt 设备提供 DMA I/O,这会造成 DMA 攻击的威胁,从而读写整个系统内存或从加密设备捕获数据。 为了防止此类攻击,Thunderbolt 提出了安全级别的概念,该概念允许仅使用用户授权的设备,并使用连接的加密身份验证来防止 ID 伪造。
已发现的漏洞使得绕过此类绑定并以授权设备为幌子连接恶意设备成为可能。 此外,还可以修改固件并将SPI Flash切换为只读模式,这可用于完全禁用安全级别并禁止固件更新(已为此类操作准备了实用程序)
- 使用不充分的固件验证方案;
- 使用弱设备认证方案;
- 从未经身份验证的设备加载元数据;
- 向后兼容机制的可用性,允许使用回滚攻击
易受攻击的技术 ; - 使用未经验证的控制器配置参数;
- SPI Flash 接口出现故障;
- 缺乏该级别的防护装备
BOOT Camp .
该漏洞影响所有配备 Thunderbolt 1 和 2(基于 Mini DisplayPort)以及 Thunderbolt 3(基于 USB-C)的设备。 目前尚不清楚采用 USB 4 和 Thunderbolt 4 的设备是否会出现问题,因为这些技术才刚刚发布,还无法测试其实施情况。 漏洞无法通过软件消除,需要重新设计硬件组件。 然而,对于某些新设备,可以使用该机制来阻止与 DMA 相关的一些问题
提供了一个 Python 脚本来检查您的设备
来源: opennet.ru