The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Thunderspy - серия атак на оборудование с интерфейсом Thunderbolt

11.05.2020 23:09

Раскрыта информация о семи уязвимостях в оборудовании с интерфейсом Thunderbolt, объединённых под кодовым именем Thunderspy и позволяющих обойти все основные компоненты обеспечения безопасности Thunderbolt. На основе выявленных проблем предложено девять сценариев совершения атак, реализуемых при наличии у атакующего локального доступа к системе через подключение вредоносного устройства или манипуляции с прошивкой.

Сценарии атак включают возможности по созданию идентификаторов произвольных Thunderbolt-устройств, клонирования авторизированных устройств, произвольного доступа к системной памяти через DMA и переопределения настроек уровней безопасности (Security Level), в том числе для полного отключения всех механизмов защиты, блокирования установки обновлений прошивки и перевода интерфейса в режим Thunderbolt на системах, ограниченных пробросом через USB или DisplayPort.

Thunderbolt представляет собой универсальный интерфейс для подключения периферийных устройств, комбинирующий в одном кабеле интерфейсы PCIe (PCI Express) и DisplayPort. Thunderbolt разработан компаниями Intel и Apple, и применяется во многих современных ноутбуках и ПК. Устройствам Thunderbolt на базе PCIe предоставлены средства для ввода/вывода с прямым доступом к памяти, что создаёт угрозу совершения DMA-атак для чтения и записи всей системной памяти или захвата данных с зашифрованных устройств. Для предотвращения подобных атак в Thunderbolt была предложена концепция уровней безопасности (Security Level), которая допускает применение только авторизированных пользователем устройств и применяет для защиты от подделки идентификаторов криптографическую аутентификацию соединений.

Выявленные уязвимости дают возможность обойти подобную привязку и подключить вредоносное устройство под видом авторизированного. Кроме того, имеется возможность модификации прошивки и перевода SPI Flash в режим только для чтения, что может применяться для полного отключения уровней безопасности и запрета обновления прошивки (для подобных манипуляций подготовлены утилиты tcfp и spiblock). Всего раскрыты сведения о семи проблемах:

  • Применение неадекватных схем верификации прошивки;
  • Использование слабой схемы аутентификации устройства;
  • Загрузка метаданных из неаутентифицированного устройства;
  • Наличие механизмов обеспечения обратной совместимости, допускающих применение атак по откату на уязвимые технологии;
  • Использование параметров конфигурации неаутентифицированного контроллера;
  • Недоработки в интерфейсе для SPI Flash;
  • Отсутствие средств защиты на уровне Boot Camp.

Уязвимость проявляется на всех устройствах, оснащённых Thunderbolt 1 и 2 (на базе Mini DisplayPort) и Thunderbolt 3 (на базе USB-C). Пока не ясно проявляются ли проблемы в устройствах с USB 4 и Thunderbolt 4, так как данные технологии только анонсированы и пока нет возможности проверить их реализацию. Уязвимости не могут быть устранены программно и требуют переработки аппаратных компонентов. При этом для некоторых новых устройств имеется возможность блокирования части проблем, связанных с DMA, при помощи механизма Kernel DMA Protection, поддержка которого стала внедряться начиная с 2019 года (поддерживается в ядре Linux, начиная с выпуска 5.0, проверить включение можно через "/sys/bus/thunderbolt/devices/domainX/iommu_dma_protection").

Для проверки своих устройств предложен Python-скрипт Spycheck, который требует запуска с правами root для доступа к DMI, DMAR-таблице ACPI и WMI. В качестве мер для защиты уязвимых систем рекомендуется не оставлять систему без присмотра включённой или в ждущем режиме, не подключать чужие устройства Thunderbolt, не оставлять и не передавать свои устройства посторонним и обеспечить физическую защиту своих устройств. Если в Thunderbolt нет необходимости, то рекомендуется отключить Thunderbolt-контроллер в UEFI или BIOS (может привести к неработоспособности портов USB и DisplayPort, если они реализованы через контроллер Thunderbolt).

  1. Главная ссылка к новости (https://blogs.intel.com/techno...)
  2. OpenNews: Intel подготовил начальную реализацию драйвера USB 4.0 для ядра Linux
  3. OpenNews: Атака с использованием вредоносных устройств с интерфейсом Thunderbolt
  4. OpenNews: Представлена техника атаки на микроконтроллеры, встроенные в MicroSD-карты
  5. OpenNews: Эксплуатация уязвимости в DRAM-памяти через локальную сеть
  6. OpenNews: Реализация DDIO в чипах Intel допускает сетевую атаку по определению нажатий клавиш в сеансе SSH
Лицензия: CC-BY
Наводку на новость прислал Artem S. Tashkinov
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/52928-thunderspy
Ключевые слова: thunderspy, thunderbolt, attack
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (44) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, InuYasha (?), 23:16, 11/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    А на НЕяблочных устройствах Thunderbolt часто встречается?
     
     
  • 2.2, USB3 это оно и есть. (?), 23:18, 11/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Devices with Thunderbolt 3 ports began shipping at the beginning of December 2015, including notebooks running Microsoft Windows (from Acer, Asus, Clevo, HP, Dell, Dell Alienware, Lenovo, MSI, Razer, and Sony), as well as motherboards (from Gigabyte Technology), and a 0.5 m Thunderbolt 3 passive USB-C cable (from Lintes Technology).

    https://en.wikipedia.org/wiki/Thunderbolt_(interface)

     
     
  • 3.4, InuYasha (?), 23:31, 11/05/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Ну, я бы не сказал что это == USB3. У меня есть порт USB 3.0, но там никакого ТБ нет.
    А вообще весело - вывели наружу, практически, PCI-express, и ждали безопасности и недоступности памяти.
     
     
  • 4.5, Аноним (5), 23:36, 11/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Wiki
    Thunderbolt 3 представляет собой порт, совместимый с USB 3.1, выполнен с разъёмом USB Type-C
    Thunderbolt 3 станет частью стандарта USB4, так как компания Intel передала все права на него USB Implementers Forum.
     
     
  • 5.29, Аноним (29), 10:49, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > компания Intel передала все права на него USB Implementers Forum.

    autorun.inf

     
  • 4.35, proninyaroslav (ok), 12:14, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >А вообще весело - вывели наружу, практически, PCI-express, и ждали безопасности и недоступности памяти.

    На USB тоже не мало уязвимостей. Причём к PCI-E может подключаться много чего, в том числе и USB при желании. Проблема как обычно в одном - в усложнении архитектуры.

     
  • 2.6, анон (?), 23:49, 11/05/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    В почти любом ноутбуке дороже 2000$, не?
     
     
  • 3.13, хотел спросить (?), 02:10, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    почти в любом ноутбуке на Intel, если он не откровенно дешманский от 1000 и выше

    тот случай, когда отсутствие TB на AMD превращается из недостатка в преимущество

    у меня есть TB и теперь FDE на моем ноуте можно засунуть в жoпу

     
  • 3.15, хотел спросить (?), 02:26, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Cтранная шляпа...

    Скачал Spycheck и тестирую ноут. На нем точно есть TB3 совмещенный с Type-C, я на него даже устанавливал прошивку новую от Intel.

    Но spycheck пишет что порты не найдены, система не уязвима.

     
  • 2.16, анончик (?), 02:27, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    сейчас уже да. исключение -- устройства на amd и устройства, где производитель религиозно против thunderbolt (например, microsoft surface). до skylake (пять лет назад) было существенно реже.

    skylake нативно поддерживает Thunderbolt 3 и с его появлением порты начали появляться: на intel (nuc), на dell, на thinkpad, на hp, на asus и далее почти везде.

     
     
  • 3.30, Stax (ok), 11:15, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Если не секрет, а в чем поддержка процессора вообще может заключаться? Если во-первых ТБ сидит за южным мостом за DMI согласно картинке https://thunderspy.io/assets/img/tb3-controller-architecture-alpine-ridge.png , а еще все равно требуется контроллер, преобразующий pcie в thunderbolt, типа

    $ lspci|grep Thunderbolt
    04:00.0 PCI bridge: Intel Corporation JHL7540 Thunderbolt 3 Bridge [Titan Ridge 4C 2018] (rev 06)
    05:00.0 PCI bridge: Intel Corporation JHL7540 Thunderbolt 3 Bridge [Titan Ridge 4C 2018] (rev 06)
    05:01.0 PCI bridge: Intel Corporation JHL7540 Thunderbolt 3 Bridge [Titan Ridge 4C 2018] (rev 06)
    05:02.0 PCI bridge: Intel Corporation JHL7540 Thunderbolt 3 Bridge [Titan Ridge 4C 2018] (rev 06)
    05:04.0 PCI bridge: Intel Corporation JHL7540 Thunderbolt 3 Bridge [Titan Ridge 4C 2018] (rev 06)
    06:00.0 System peripheral: Intel Corporation JHL7540 Thunderbolt 3 NHI [Titan Ridge 4C 2018] (rev 06)
    3a:00.0 USB controller: Intel Corporation JHL7540 Thunderbolt 3 USB Controller [Titan Ridge 4C 2018] (rev 06)

     
     
  • 4.34, Аноним (34), 11:38, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Чипсет в случае Intel довольно тесно ассоциирован с поколением CPU.
     
  • 4.38, анончик (?), 12:58, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    начиная с icelake pch этой отдельной сущности на чипсете уже нету, кстати.

    т.е. формально да, cpu от intel поддерживают thunderbolt 3 аж начиная как минимум с sandy bridge. да вот только чипсет к ним до skylake не имеет интегрированного контроллера. об том и речь.

     
  • 3.45, хотел спросить (?), 20:10, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а что если удалить драйвер TB? это по идее должно помочь

    в винде его изначально можно не ставить и просто задисейблить устройство

    что делать с линухой? он же скомпилирован в ядро?

    отпишитись плиз знающие люди

     
  • 2.17, НяшМяш (ok), 02:33, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В моём Dell 2019 года целый один порт есть.
     

  • 1.3, Агент ЦРУ (?), 23:28, 11/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Это не баг, а фича.
     
  • 1.7, Аноним (7), 00:19, 12/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Можно подумать что производители тандерболта этого не знали. Во все времена спецслужбы старались внедрить все возможные бэкдоры, что влекло за собой определенные проблемы. Лучше внедрения только намеренная уязвимость подобной этой - кто надо все через достанет. Суки!
     
  • 1.8, Аноним (8), 00:26, 12/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    интересно а в usb4 это исправят? всё такие usb4 это по сути Thunderbolt3
     
     
  • 2.23, kvaps (ok), 07:58, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    В usb4 новый бэкдор обещали добавить
     

  • 1.9, mos87 (ok), 01:07, 12/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    элитное шерето? никогда такого не было...
     
  • 1.10, Аноним (10), 01:20, 12/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    По сути ничего нового. В FireWire, где тоже был прямой доступ к памяти, были аналогичные угрозы безопасности. И, кстати, разве IOMMU не решает большинство этих проблем?
     
     
  • 2.11, Аноним (10), 01:24, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Сам и отвечу: "First, hardware and OS vendors incorporated support for DMA remapping
    using Input-Output Memory Management Units (IOMMUs), which imposes
    memory protections on DMA. However, following various implementation issues,
    OS vendors classified DMA remapping as an optional countermeasure requiring
    driver support." Пока правда не ясно, касается ли это линукса.
     
     
  • 3.14, хотел спросить (?), 02:14, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    DMA protection utilizing IOMMU

    Recent systems from 2018 and forward with Thunderbolt ports may natively support IOMMU. This means that Thunderbolt security is handled by an IOMMU so connected devices cannot access memory regions outside of what is allocated for them by drivers. When Linux is running on such system it automatically enables IOMMU if not enabled by the user already. These systems can be identified by reading 1 from /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection attribute.

    The driver does not do anything special in this case but because DMA protection is handled by the IOMMU, security levels (if set) are redundant. For this reason some systems ship with security level set to none. Other systems have security level set to user in order to support downgrade to older OS, so users who want to automatically authorize devices when IOMMU DMA protection is enabled can use the following udev rule:

     
  • 3.31, Stax (ok), 11:18, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У меня на Thinkpad X1E стоит контроллер TB 2018 года и поддержки IOMMU / Kernel DMA нет :-(
    А казалось бы, засунуть это в IOMMU очень здравая затея, самому-то IOMMU лет 10 уже наверное?..
     
     
  • 4.37, КО (?), 12:56, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так в новости же и описано, что можно подделаться под авторизованный девайс. Ну и далее везде.
    А если IOMMU начнет проверять сертификат от каждой железки на каждом пакете данных - весь смысл во внешней шине пропадет.
     

  • 1.12, expert (??), 01:55, 12/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    завтра пропатчат дырки и все забудут...
     
  • 1.18, Аноним (18), 02:46, 12/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Вот всегда старался втыкать одни и те же устройства в те же разъёмы.
    Верность знаете ли...

    А теперь надо все новые ноутбуки продавать с пленкой закрывающей этот разъём. Снимать пользователю в первую ночь лично. Ревнивым параноикам потом можно навесить туда замочек. Также наладить массовое производство адаптеров ConDMA (Conter DMA). И вообще за беспасное подключение переферии.

     
     
  • 2.21, Аноним (-), 07:43, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Жениться тебе надо, барин (ц)
     
  • 2.32, Stax (ok), 11:19, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А теперь надо все новые ноутбуки продавать с пленкой закрывающей этот разъём

    И как вы это, интересно, будете делать на том же макбуке, у которого других USB-разъемов нет, да и зарядка через тот же разъем, вообще-то?

     
     
  • 3.33, Аноним84701 (ok), 11:37, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> А теперь надо все новые ноутбуки продавать с пленкой закрывающей этот разъём
    > И как вы это, интересно, будете делать на том же макбуке, у которого других USB-разъемов нет, да и зарядка через тот же разъем, вообще-то?

    Лишить менагеров ябла премий, на эти деньги нанять специалистов для технических решений и специалистов для дополнительной умственной стимуляции этих менагеров (с помощью хороших, толстых стимулов) ...
    не, ну правда -- с их же FireWire точно такая же фигня была https://wikileaks.org/spyfiles/files/0/293_GAMMA-201110-FinFireWire.pdf

     

  • 1.20, годныйанонимус (?), 03:12, 12/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    пошел в кафе залепил порты, пришел в офис опечатал док-станцию на пломбу, вернулся домой одел саркофаг
     
     
  • 2.25, Анони м (?), 08:33, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вернулся - всё разлеплено и распечатано. Ваши действия?
     
     
  • 3.27, Аноним (27), 09:23, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Быстро бежать и громко кричать.
     
     
  • 4.28, Аноним (28), 09:45, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Куда бежать? Что кричать?
     
  • 2.26, Аноним (26), 08:35, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    *надел саркофаг
     
     
  • 3.40, kk (??), 13:37, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    фараон detected
     
  • 3.41, ryoken (ok), 15:00, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Скафандр или там костюм РХБЗ жИ! :D
     

  • 1.22, Аноним (22), 07:50, 12/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если устройство попало в чужие руки, оно уже по умолчанию уязвимо, независимо от наличия каких-либо разъемов
    Не стоит в общественных местах оставлять ноут без присмотра
     
     
  • 2.36, Аноним (36), 12:35, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это не повод двери не запирать.
     
  • 2.39, КО (?), 12:59, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да ты своими руками воткнул мобилу,зарядку,камеру, да что угодно. А в ней троянчик, который выкачивает память на внешний сервак и оттуда получает новые команды для твоего компа.
     

  • 1.43, Соня Мармеладова (?), 19:03, 12/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Опять интел наинжинирил.

    Граждане,берите АМД!
    Они вкусные и без лабудэ.

     
     
  • 2.44, хотел спросить (?), 19:21, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А что делать с USB4?
     

  • 1.47, Аноним (47), 22:35, 12/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А вот у меня на ноуте как был RS232 так до сих пор востребован, чего бы там макаки не верещали. И никаких RS232-2 RS232-3 RS232-4 не будет.
    Стабильность как она есть!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру