Hem konsumentenKundtillbehör Se upp! Thunderbolt Flaws Revealed: Thunderspy
Kundtillbehörkonsumenten

Se upp! Thunderbolt Flaws Revealed: Thunderspy

by Juan Mulford
skriven av Juan Mulford
Thunderbolt brister thunderspy

Redan i februari upptäcktes och rapporterades en rad Thunderbolt-säkerhetsbrister av Björn Ruytenberg, en MSc-student i datavetenskap och teknik som specialiserat sig på informationssäkerhet. Ruytenberg, publicerade en Thunderbolt sårbarhetsrapport och har kallat denna hackningsteknik som Thunderspy. Thunderspy är en samling av sårbarheter som bryter mot alla primära Thunderbolt-säkerhetsanspråk. I huvudsak tillåter Thunderbolt att spionera på system, i de flesta fall, utan att användarna märker det.

Redan i februari upptäcktes och rapporterades en rad Thunderbolt-säkerhetsbrister av Björn Ruytenberg, en MSc-student i datavetenskap och teknik som specialiserat sig på informationssäkerhet. Ruytenberg, publicerade en Thunderbolt sårbarhetsrapport och har kallat denna hackningsteknik som Thunderspy. Thunderspy är en samling av sårbarheter som bryter mot alla primära Thunderbolt-säkerhetsanspråk. I huvudsak tillåter Thunderbolt att spionera på system, i de flesta fall, utan att användarna märker det.

Enligt forskningen kan Thunderbolts sårbarheter tillåta en hackare att bryta sig in i en dator och komma åt dess data på några minuter. Thunderspy riktar sig mot enheter med en Thunderbolt-port och påverkar alla datorer som tillverkats före 2019 (miljontals datorer). Om datorer har en sådan port kan en angripare som får kort fysisk åtkomst till den läsa och kopiera all dators data, även om enheten är krypterad och datorn är låst eller inställd på viloläge, sa forskaren.

Thunderbolt brister thunderspy

Thunderbolt är ett proprietärt I/O-protokoll utvecklat av Intel (i samarbete med Apple) som möjliggör anslutning av extern kringutrustning till en dator, och som möjliggör snabba dataöverföringar. Protokollet ingår i flera bärbara datorer, stationära datorer och andra system.

Ruytenberg förklarar att eftersom Thunderbolt är en extern sammankoppling gör det att systemets interna PCI Express (PCIe)-domän kan exponeras för externa enheter. "Detta möjliggör användningsfall med hög bandbredd och låg latens, som externa grafikkort. Eftersom Thunderbolt-enheter är PCIe-baserade har Direct Memory Access-aktiverad I/O, vilket ger fullständig åtkomst till en dators tillstånd och möjlighet att läsa och skriva allt systemminne”. Den förmågan har föranlett forskning om attacker som kollektivt kallas "evil maid". En evil maid attack är en attack på en obevakad enhet, där en angripare med fysisk åtkomst ändrar den på något oupptäckbart sätt så att de senare kan komma åt enheten eller data på den.

"Thunderspy är smyg, vilket betyder att du inte kan hitta några spår av attacken. Det kräver inte ditt engagemang.” sa Ruytenberg. "Thunderspy fungerar även om du följer de bästa säkerhetsrutinerna genom att låsa eller stänga av din dator när du lämnar en kort stund. Och om din systemadministratör har konfigurerat enheten med säker start, starka BIOS- och operativsystemkontolösenord och aktiverat fullständig diskkryptering." Denna sårbarhet innebär att en angripare bara behöver ett par minuter ensam med datorn för att få åtkomst och äventyra data.

I studien har forskare hittat och experimentellt bekräftat flera sårbarheter relaterade till Thunderbolt-protokollets säkerhet. Forskarna avslöjade följande sårbarheter:

  1. Otillräckliga system för verifiering av firmware.
  2. Svagt enhetsautentiseringsschema.
  3. Användning av oautentiserad enhetsmetadata.
  4. Bakåtkompatibilitet.
  5. Användning av oautentiserade kontrollerkonfigurationer.
  6. SPI flash-gränssnittsbrister.
  7. Ingen Thunderbolt-säkerhet på Boot Camp.

I en video som laddats upp till YouTube (Thunderspy PoC-demo 1: Låser upp Windows-datorn på 5 minuter) visar forskning en attack som utnyttjar Thunderspy sårbarhetsvariant 5: Användning av oautentiserade kontrollerkonfigurationer.

https://www.youtube.com/watch?v=7uvSZA1F9os&feature=emb_logo

Intel har bekräftat följande sårbarheter:

  • Alla tre versionerna av Thunderbolt påverkas av Thunderspy-sårbarheter.
  • Endast system som levererar Kernel DMA-skydd minskar några, inte alla, av Thunderspy-sårbarheterna.
  • Endast system som började levereras sedan 2019 kommer med Kernel DMA Protection.
  • Utöver Kernel DMA-skydd kommer Intel inte att tillhandahålla några begränsningar för att åtgärda Thunderspy-sårbarheterna. Därför kommer Intel inte att tilldela några CVE:er till Thunderspy-sårbarheterna, eller släppa några offentliga säkerhetsråd för att informera allmänheten.

Forskarna konstaterade att trots deras upprepade ansträngningar är skälen till Intels beslut att inte mildra Thunderspy-sårbarheterna på system på marknaden fortfarande okänd. "Med tanke på Thunderspys natur tror vi dock att det skulle vara rimligt att anta att dessa inte kan fixas och kräver en omdesign av kisel. För framtida system som implementerar Thunderbolt-teknik har Intel faktiskt sagt att de kommer att införliva ytterligare hårdvaruskydd.”

Problemet med detta är att Kernel DMA Protection endast är tillgängligt på ett begränsat antal moderna system. Detta problem är till och med värst för alla system som släppts före 2019 och moderna system som inte levererar Kernel DMA Protection. De kommer att förbli helt sårbara för Thunderspy för alltid.

Sårbara system

Så alla Thunderbolt-utrustade system som skickas mellan 2011-2020 är sårbara. Och vissa system som tillhandahåller Kernel DMA-skydd, som har skickats sedan 2019, är delvis sårbara. Thunderspy-sårbarheterna kan inte fixas i programvara; därför kommer de att påverka framtida standarder som USB 4 och Thunderbolt 4. De kräver en omdesign av silikon.

Alla system påverkas inte, till exempel system som uteslutande tillhandahåller USB-C-portar. Dessa portar identifieras av en USB-symbol, snarare än en blixtsymbol. Därför bör användare hänvisa till berörda system för att verifiera om deras system har Thunderbolt- eller USB-C-portar. För listan över sårbara enheter och system och Ruytenbergs rekommendationer, kolla den officiella Thunderspy-webbplatsen.

Som en lösning uppmanas användare att avgöra om de påverkas med Spycheck, ett gratis och öppen källkodsverktyg utvecklat av detta initiativ som verifierar om system är sårbara för Thunderspy. Om ett system upptäcks vara sårbart kommer Spycheck att vägleda användare till rekommendationer om hur de kan hjälpa till att skydda deras system.

Referens:

https://thunderspy.io/

https://thunderspy.io/assets/reports/breaking-thunderbolt-security-bjorn-ruytenberg-20200417.pd

Diskutera på Reddit

Engagera dig med StorageReview

Nyhetsbrev | Youtube | Podcast iTunes/Spotify | Instagram | Twitter | Facebook | Rssflöde

Juan är en personalskribent med StorageReview, med lång erfarenhet av Enterprise Storage System Management.

Copyright © 1998-2024 Flying Pig Ventures, LLC Cincinnati, Ohio. Alla rättigheter förbehållna.