相关信息 在具有 Thunderbolt 接口的设备中,统一在代号下 并绕过所有主要的 Thunderbolt 安全组件。 根据已识别的问题,提出了九种攻击场景,如果攻击者通过连接恶意设备或操纵固件对系统进行本地访问,则可以实施这些攻击场景。
攻击场景包括创建任意 Thunderbolt 设备的标识符、克隆授权设备、通过 DMA 随机访问系统内存以及覆盖安全级别设置,包括完全禁用所有保护机制、阻止安装固件更新以及将接口转换为 Thunderbolt 模式。系统仅限于 USB 或 DisplayPort 转发。
Thunderbolt 是一种用于连接外围设备的通用接口,在一根电缆中结合了 PCIe (PCI Express) 和 DisplayPort 接口。 Thunderbolt 由英特尔和苹果开发,用于许多现代笔记本电脑和个人电脑。 基于 PCIe 的 Thunderbolt 设备提供 DMA I/O,这会造成 DMA 攻击的威胁,从而读写整个系统内存或从加密设备捕获数据。 为了防止此类攻击,Thunderbolt 提出了安全级别的概念,该概念允许仅使用用户授权的设备,并使用连接的加密身份验证来防止 ID 伪造。
已发现的漏洞使得绕过此类绑定并以授权设备为幌子连接恶意设备成为可能。 此外,还可以修改固件并将SPI Flash切换为只读模式,这可用于完全禁用安全级别并禁止固件更新(已为此类操作准备了实用程序) и )。 总共披露了七个问题的信息:
- 使用不充分的固件验证方案;
- 使用弱设备认证方案;
- 从未经身份验证的设备加载元数据;
- 向后兼容机制的可用性,允许使用回滚攻击 ;
- 使用未经验证的控制器配置参数;
- SPI Flash 接口出现故障;
- 缺乏该级别的防护装备 .
该漏洞影响所有配备 Thunderbolt 1 和 2(基于 Mini DisplayPort)以及 Thunderbolt 3(基于 USB-C)的设备。 目前尚不清楚采用 USB 4 和 Thunderbolt 4 的设备是否会出现问题,因为这些技术才刚刚发布,还无法测试其实施情况。 漏洞无法通过软件消除,需要重新设计硬件组件。 然而,对于某些新设备,可以使用该机制来阻止与 DMA 相关的一些问题 ,从 2019 年开始实施支持( 在Linux内核中,从5.0版本开始,您可以通过“/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection”检查包含情况。
提供了一个 Python 脚本来检查您的设备 ,需要以 root 身份运行才能访问 DMI、ACPI DMAR 表和 WMI。 为了保护易受攻击的系统,我们建议您不要让系统处于无人看管或待机模式,不要连接他人的 Thunderbolt 设备,不要将您的设备留给或交给他人,并确保您的设备受到物理保护。 如果不需要 Thunderbolt,建议在 UEFI 或 BIOS 中禁用 Thunderbolt 控制器(如果通过 Thunderbolt 控制器实现,这可能会导致 USB 和 DisplayPort 端口无法工作)。
来源: opennet.ru