一名网络安全研究员披露了7个新出现的且无法修复的硬件漏洞,影响过去九年来出售的所有安装 Thunderbolt(雷电接口)或Thunderbolt 兼容 USB-C 端口的桌面和笔记本电脑。
这些漏洞被统称为 “ThunderSpy”,可被用于9中证实的邪恶女仆攻击场景中,主要用于窃取数据或读写锁定或睡眠计算机的系统内存。简言之,如果你认为有人可以在几分钟内物理访问你的计算机,就可对你造成重大损害,面临邪恶女仆攻击的风险。埃因霍温科技大学研究员 Björn Ruytenberg 指出,ThunderSpy 攻击“虽然可能要求用螺丝刀打开目标计算机的外壳,但这样做并不会留下任何入侵痕迹且几分钟内即可完成。”换句话说,该缺陷和网络活动或任何相关组件并不关联,因此无法遭远程利用。Ruytenberg 表示,“即使你遵循最佳安全实践如锁定或者在短暂离开时让电脑睡眠,或者你的系统管理员以 Secure Boot 模式安装设备,部署了强大的 BIOS 和操作系统账户密码或启用全磁盘加密机制也无济于事。”除了运行 Windows 或 Linux 操作系统的任何计算机受影响外,受 Thunderbolt 驱动的苹果 Macbooks(除 retina 版本,2011年起销售)也受影响但并非所有版本受影响。如下7个 ThunderSpy 漏洞影响 Thunderbolt 版本1、2和3,可被用于创建任意的 Thunderbolt 设备标识符、克隆用户授权的 Thunderbolt 设备,并获取执行 DMA 攻击的 PCIe 连接:针对Thunderbolt 端口的直接内存访问 (DMA) 攻击并不新鲜,此前曾在 ThunderClap 攻击中成功演示。基于 DMA 的攻击可导致攻击者仅通过将恶意热插拔设备(如外部网卡、鼠标、键盘、打印机或存储卡)插入 Thunderbolt 端口或最新 USB-C 端口的方式在几秒内执行。简言之,DMA 攻击是很可能执行的,因为 Thunderbolt 端口在非常底层运作且具有对计算机的高权限访问权限,可导致联网外围设备绕过操作系统安全策略并直接读写可能包含敏感信息如密码、银行登录凭证、私人文件和浏览器活动的系统内存。为对抗 DMA 攻击,Intel 推出了一些应对措施,其中一个是“安全级别”,阻止未授权的基于 Thunderbolt PCIe 设备在用户未授权时连接。研究员指出,“为了进一步增强设备认证,据称系统提供了‘连接加密认证’,阻止设备欺骗用户授权设备。”然而,通过连接前三个缺陷,攻击者可打破‘安全级别’功能并通过伪造 Thunderbolt 设备标识符的方式加载未授权的恶意 Thunderbolt 设备。他补充表示,“Thunderbolt 控制器在 DROM 的固件区存储设备元数据。我们发现 DROM 并未加密验证。从第一个问题开始,这个漏洞能够构建伪造的 Thunderbolt 设备标识符。另外,当结合利用第二个漏洞时,伪造的身份可能部分或全部攻陷任意数据。我们展示了未经验证的安全级别配置覆盖,包括完全禁用 Thunderbolt 安全性的功能,如系统仅限于仅通过 USB 和/或 DisplayPort 传输,则可恢复 Thunderbolt 的连接能力。在报告结尾,我们展示了永久禁用 Thunderbolt 安全和拦截所有未来固件更新的能力。”Ruytenberg指出,自2019年起市场上可用的最新系统包括能够部分缓解这些漏洞的 Kernel DMA 防护措施。他还发布了一个免费开源工具 Spycheck 供用户查看自己的系统是否受影响。有意思的是,当 Ruytenberg 将这些问题告知 Intel 公司时,后者表示已经意识到其中某些问题的存在,并没有修复或公布漏洞的计划。Ruytenberg 表示在 Thunderbolt 协议中找到了更多潜在的漏洞,目前正在研究中,预计很快就会发布 “Thunderspy 2” 漏洞。因此,如果你认为自己是邪恶仆人攻击的潜在目标并拥有一个 Thunderbolt 系统,则避免将设备放任不管,或者完全关闭系统或者至少考虑使用休眠模式而非睡眠模式。更进一步,避免暴露自己的 Thunderbolt 外围设备。
https://thehackernews.com/2020/05/thunderbolt-vulnerabilities.html
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~