ang010ela 嘶吼专业版
近日,荷兰Eindhoven University of Technology大学的研究人员发现了Thunderbolt的7个安全漏洞,影响过去9年配备了Thunderbolt接口的私有计算机和笔记本电脑。
Thunderbolt(雷电接口)是Intel发布的一种接口,类似USB Type-C,融合了PCI Express和DisplayPort两种通信协议。能够为电脑提供更快的传输速度和多种类型的数据同时传输的特性,每个雷电接口都有两个通道,每个通道的带宽都可以达到双向10Gbps。
Thunderbolt控制器硬件架构如下所示:
Thunderbolt控制器硬件架构
ThunderSpy漏洞
研究人员将这7个漏洞命名为——ThunderSpy,这7个漏洞分别是:
· 固件验证机制不充分;
· 设备认证方案不够安全;
· 使用未认证的设备元数据;
· 利用向后兼容发起降级攻击;
· 使用未认证的攻击者配置;
· SPI flash接口存在缺陷;
· Boot Camp中缺乏Thunderbolt安全机制。
漏洞影响Thunderbolt v1, 2, 3,还可以用来创建任意的Thunderbolt设备身份、克隆用户授权的设备、获取PCIe连接性来发起DMA攻击。也就是说,漏洞与网络活动或其他相关组件是没有关联的,也就无法远程利用。
攻击者利用漏洞可以在9个攻击场景中应用,主要是窃取数据、读写计算机系统内存,即使系统锁定或睡眠、甚至全盘加密也可以发起攻击。研究人员称发起ThunderSpy攻击只需要打开安装了screwdriver的目标电脑,攻击过程并不会留下任何入侵痕迹,在5分钟内就可以窃取数据。
漏洞影响
研究人员称所有2011年到2020年发布的配有Thunderbolt的系统都受到该漏洞的影响。2019年发布的配备了Kernel DMA保护的系统部分受到该漏洞的影响。除了运行Windows和Linux操作系统的计算机外,除了retina版本外其他使用Thunderbolt的Apple MacBooks也受到Thunderspy攻击的影响。
Thunderspy漏洞无法通过软件修复,并影响尚未发布的USB 4和Thunderbolt 4标准,需要对芯片重新设计。研究人员还发布了一个免费的开源工具来检查系统是否受到该漏洞的影响——Spycheck。因此,强烈建议用户用Spycheck检查系统是否受到Thunderspy漏洞的影响。
Windows检查工具下载地址:
https://thunderspy.io/files/Spycheck-Windows-20200511.zip
Linux检查工具下载地址:
https://github.com/BjornRuytenberg/spycheck-linux
Thunderspy PoCs
克隆用户授权的设备身份为任意攻击者设备
Thunderspy可以创建任意的Thunderbolt设备身份、克隆用户授权的Thunderbolt设备,即使使用了Security Levels pre-boot 保护和加密设备认证也可以发起攻击。
永久禁用Thunderbolt安全和未来固件更新
Thunderbolt Controller Firmware Patcher (tcfp)是一个固件补丁工具集,可以在无需访问受害者系统BIOS或操作系统的情况下禁用Thunderbolt安全特征。此外,tcfp还可以在不修改BIOS中状态的情况下禁用Thunderbolt安全特征。
Thunderbolt Controller Firmware Patcher下载地址: https://github.com/BjornRuytenberg/tcfp
研究人员开发的另一个工具SPIblock,可以在flash写保护上编程。包括配置SPI flash为只读状态。与tcfp融合后,就可以永久地、悄悄地禁用Thunderbolt安全特征,并拦截未来固件更新。
SPIblock工具下载地址:https://github.com/BjornRuytenberg/spiblock
PoC视频地址:https://www.youtube-nocookie.com/embed/7uvSZA1F9os
时间轴
研究人员于今年2月10日将漏洞1-5报告给了Intel,Intel称已经注意到了其中的部分漏洞,但是暂时还没有修复或公开漏洞的计划。随后,研究人员陆续将漏洞6提交给了Intel,并在3月17日得到了Intel确认。漏洞7在4月17日得到了苹果公司的确认。
更多技术细节,参见:https://thunderspy.io/
