Thunderspy - 7 ranjivosti pogađaju sve Thunderbolt uređaje od 2011!
Za eksploatisanje potrebno 5 minuta fizičkog pristupa i šrafciger!
Otkriveno je 7 novih hardverskih ranjivosti koje pogađaju sve desktop i laptop računare prodate u poslednjih 9 godina, a koji u sebi imaju Thunderbolt ili sa njim kompatibilne USB-C portove. Ranjivosti su nazvane ThunderSpy. Postoji 9 realističnih scenarija za napad, prvenstveno za krađu podataka i čitanje/zapisivanje u celoj sistemskoj memoriji zaključanog ili računara u sleep mode-u, čak i kada je primenjena zaštita eknripcije celog diska.
Napad podrazumeva fizički pristup uređaju, a u nekim slučajevima je potrebno otvoriti laptop šrafcigerom. Za ceo proces dovoljno je samo par minuta. Drugim rečima, čak i da koristite najbolja bezbednosna rešenja i primenjujete preporučene metode za zaštitu, ukoliko na kratko ostavite svoj računar bez nadzora, možete postati žrtva ovog napada (tzv. evil-maid napad). Od ovakvih napada ne može vas zaštititi ni Secure Boot, ni jake lozinke za BIOS i OS naloge, niti puna enkripcija diska.
Pored Windows i Linux računara, i svi Apple MacBook računari (osim retina verzija) prodati od 2011. su delimično podložni ThunderSpy napadima.
ThunderSpy ranjivosti
Kod Thunderbolt verzija 1, 2 i 3 detektovano je prisustvo sledećih 7 ranjivosti, koje napadaču omogućavaju da napravi proizvoljne identitete za Thunderbolt uređaje, klonira Thunderbolt uređaje koji imaju korisničku autorizaciju i, na kraju, uspostavi PCIe povezanost za izvođenje DMA napada:
-
Neadekvatne firmware verifikacione šeme
-
Slaba autentifikaciona šema uređaja
-
Neautentifikovani meta podaci uređaja
-
Downgrade napad preko tzv. backward kompatibilnosti
-
Neautentifikovana konfiguracija kontrolera
-
Nedostaci u SPI flash interfejsu
-
Nedostatak Thunderbolt bezbednosti u Boot Campu
DMA napadi na Thunderbolt port nisu novina. Od ranije su poznati tzv. ThunderClap napadi. Za uspešan DMA napad dovoljno je par sekundi, odnosno napadač samo treba da poveže maliciozni periferni uređaj - eksternu mrežnu karticu, miš, tastaturu, štampač, USB memoriju i sl. u Thunderbolt port ili USB-C port. Ukratko, DMA napadi su mogući zbog toga što Thunderbolt port omogućava low-level DMA sa visokim privilegijama pristupa računaru, što povezanim periferijama omogućava da zaobiđu bezbednosne polise i da direktno čitaju/zapisuju sistemsku memoriju, u kojoj se mogu nalaziti osetljive informacije kao što su lozinke, bankarski kredencijali, browser aktivnost, privatni fajlovi itd.
Da bi sprečio DMA napade, Intel je uveo određene mere, kao što su “nivoi bezbednosti” koji sprečavaju neautorizovane Thunderbolt PCI uređaje da se povežu bez autorizacije korisnika. Međutim, kombinacijom prva 3 Thunderspy propusta, napadač može probiti ovu zaštitu i ubaciti neautorizovani maliciozni Thunderbolt uređaj falsifikovanjem njihovog identiteta.
Thunderbolt kontroleri čuvaju meta podatke uređaja u firmware sekciji Device ROM (DROM), koji nije kriptografski verifikovan. U kombinaciji sa prvom ranjivošću, napadaču je omogućeno da falsifikuje identitet Thunderbolt uređaja, a kada se u priču uključi i druga ranjivost, falsifikovani identiteti mogu parcijalno ili u celosti da sadrže proizvoljne podatke.
Björn Ruytenberg je demonstrirao neautentifikovano probijanje konfiguracije bezbednosnog nivoa, uključujući i onemogućavanje Thunderbolt bezbednosti u celosti i vraćanje Thunderbolt konektivnosti kad sistem ima ograničenje da prolazak ide samo kroz USB i/ili DispayPort.
Ispod se nalazi video demonstracija trajnog onemogućavanja Thunderbolt bezbednosti i blokiranja svih budućih firmware ažuriranja.
ThunderSpy PoC video demonstracija.
Neki od novijih sistema koji su na tržištu od 2019. imaju Kernel DMA zaštitu koja delimično štiti od Thunderspy ranjivosti. Možete proveriti da li vaš sistem ima Thunderspy ranjivosti preko besplatnog open-source Spycheck alata. Ruytenberg dodaje da je otkrio još potencijalnih ranjivosti u Thunderbolt protokolu i da će ih uskoro objaviti kao Thunderspy 2.