雷电3漏洞

释放双眼,带上耳机,听听看~!

文章来自 雷电三漏洞说明网站  https://thunderspy.io/

thunderspy-logo-hdpi

以下为翻译内容。

Thunderspy使用Thunderbolt端口定位设备。如果您的计算机具有这样的端口,则即使您的驱动器已加密并且计算机已锁定或设置为睡眠状态,只要对其进行了短暂的物理访问,攻击者就可以读取和复制所有数据。

雷电是隐身的,这意味着您找不到攻击的任何痕迹。它不需要您的介入,即,没有网络钓鱼链接或攻击者诱骗您使用的恶意硬件。即使您遵循最佳安全性做法,Thunderspy也会起作用,即使您短暂离开也可以锁定或挂起计算机,并且系统管理员已使用安全启动,强大的BIOS和操作系统帐户密码设置了设备并启用了完整磁盘加密,但Thunderspy仍然可以工作。攻击者仅需5分钟就可以使用计算机,螺丝起子和一些易于携带的硬件。

我们在英特尔的设计中发现了7个漏洞,并开发了9个现实场景,恶意实体如何利用这些漏洞超越了英特尔为保护您而设置的防御措施。

我们已经开发了一个免费的开源工具Spycheck,以确定您的系统是否易受攻击。如果发现它容易受到攻击,Spycheck将为您提供有关如何帮助保护系统的建议。

漏洞报告

  1. https://thunderspy.io/assets/reports/breaking-thunderbolt-security-bjorn-ruytenberg-20200417.pdf

参考文献:

  1. https://thunderspy.io/#who-discovered-thunderspy

Windows:

  1. https://thunderspy.io/files/Spycheck-Windows-20200511.zip

Spycheck Linux的Spycheck

  1. https://github.com/BjornRuytenberg/spycheck-linux

行动中的Thunderspy PoC

将用户授权的设备身份克隆到任意攻击者设备

Thunderspy允许创建任意的Thunderbolt设备身份并克隆用户授权的Thunderbolt设备,即使存在安全级别的预引导保护和加密设备身份验证也是如此。

永久禁用Thunderbolt安全性和将来的固件更新

Thunderbolt控制器固件修补程序(tcfp)是我们开发的固件修补工具套件,可在无需访问受害系统BIOS或OS的情况下禁用Thunderbolt的安全性。此外, tcfp 可以秘密禁用Thunderbolt安全-无需在BIOS中反映新状态。

我们开发的另一种工具SPIblock允许对闪存写保护进行编程。具体而言,这包括将SPI闪存配置为采用不可撤销的只读状态。与tcfp结合使用,它可以永久性地,秘密地禁用Thunderbolt安全性并阻止所有将来的固件更新。

 

thunderspy-tb-device-arbitrary-identity
thunderspy-cloning-tb-device-identity-linux
thunderspy-cloning-tb-device-identity-secure-windows
thunderspy-tcfp-parse-images
thunderspy-tcfp-patch-image-sl3
图片由BjörnRuytenberg提供。在CC BY 4.0下获得许可。

 

完整摘要

Thunderbolt是Intel倡导的高带宽互连,已包含在笔记本电脑,台式机和其他系统中。基于PCIe的Thunderbolt设备具有启用直接内存访问(DMA)的I / O。在 邪恶的女仆 DMA攻击中,对手获得对受害者系统的短暂物理访问,雷电被证明是从加密驱动器中窃取数据以及读写系统内存的可行入口点。作为回应,英特尔引入了安全级别,一种旨在允许用户仅授权受信任的Thunderbolt设备的安全体系结构。为了进一步加强设备身份验证,据说该系统提供了“连接的密码身份验证”,以防止设备欺骗用户授权的设备。

我们介绍了Thunderspy,这是一系列攻击,它们破坏了Thunderbolt 1、2和3的所有主要安全声明。到目前为止,我们的研究发现了以下漏洞:

  1. 固件验证方案不足
  2. 弱设备认证方案
  3. 使用未经身份验证的设备元数据
  4. 使用向后兼容性进行降级攻击
  5. 使用未经身份验证的控制器配置
  6. SPI闪存接口缺陷
  7. 新兵训练营没有雷电安全

这些漏洞导致九种实际利用情况。在邪恶的女仆威胁模型和不同的安全级别中,我们演示了创建任意Thunderbolt设备标识,克隆用户授权的Thunderbolt设备并最终获得PCIe连接性以执行DMA攻击的能力。此外,我们还展示了未经验证的安全级别配置覆盖,包括完全禁用Thunderbolt安全性的功能,以及在系统仅限于仅通过USB和/或DisplayPort传输的情况下恢复Thunderbolt连接的功能。我们以展示永久禁用Thunderbolt安全性和阻止所有未来固件更新的能力作为结尾。

2011-2020年之间发货的所有配备Thunderbolt的系统都容易受到攻击。自2019年以来已交付的一些提供内核DMA保护的系统在一定程度上易受攻击。Thunderspy漏洞无法在软件中修复,不会影响诸如USB 4和Thunderbolt 4之类的未来标准,并且需要重新设计芯片。因此,强烈建议用户使用Spycheck(我们开发的一种免费且开源的工具,确定其系统是否容易受到Thunderspy的攻击)来确定他们是否受到影响。如果发现它容易受到攻击,Spycheck将引导用户获得有关如何帮助保护其系统的建议。

 

雷电:近距离观察

Thunderbolt控制器可以在主机模式端点模式下运行。在主机模式下,Thunderbolt控制器使用裸机PCIe接口连接到系统。图中更详细地显示了示例PCIe拓扑。可以看出,在这种情况下,PCH将PCIe x4链接公开给Thunderbolt 3控制器。USB支持使用两个辅助组件实现。虽然PCH提供了符合USB 3.1的主机控制器,但第三方IC扩展了USB信令并提供了Power Delivery支持,并根据需要在Thunderbolt和USB信令之间同时进行了多路复用。为此,Thunderbolt 3定义了可以在以下PHY模式之间动态切换的芯片:

  • USB直通模式。如果插入了USB设备,则会激活PCH USB主机控制器。在此模式下,Thunderbolt 3端口用作USB 3.0 Type C接口,即不支持DisplayPort(DP)替代模式。
  • 混合USB / DisplayPort模式。启用对“混合模式”设备的支持,例如带有DisplayPort接收器的USB C型集线器。在此模式下,Thunderbolt 3端口用作支持DP alt模式的USB 3.1 Gen 2 Type C接口。
  • 本机雷电模式。如果插入了Thunderbolt设备,则Thunderbolt芯片会启用到该设备的两个全双工链接,从而根据协商的Thunderbolt版本提供10至20 Gbps的每个链接吞吐量。该设备以端点模式运行,将这些链路多路分解为最多四个PCI Express通道和两个四通道DP流。

Thunderbolt设备可以菊花链连接。除了在多个设备之间共享一个端口外,菊花链还允许采用混合控制器配置的多种拓扑,如图所示。与USB相反,Thunderbolt是专有的连接标准。设备供应商必须申请英特尔的Thunderbolt开发人员计划,才能访问协议规范和Thunderbolt硬件供应链。此外,设备 在进入Thunderbolt生态系统之前必须经过认证程序。

tb3-controller-architecture-alpine-ridge

我们在研究过程中通过实验得出的Thunderbolt控制器硬件架构
(图片由BjörnRuytenberg提供。CCBY 4.0许可。)

 

谁发现了Thunderspy?

BjörnRuytenberg已发现并报告了Thunderspy漏洞。请将此工作引用为:

比约恩·鲁滕伯格。破坏Thunderbolt协议安全性:漏洞报告。2020年。https://thunderspy.io/assets/reports/breaking-thunderbolt-security-bjorn-ruytenberg-20200417.pdf

(bibtex)

披露时间表

我们于2月10日向英特尔披露了1-5号漏洞。他们在3月10日写道,他们的工程团队确认了该漏洞,而3-5号漏洞对他们来说是新的。经过进一步研究,我们披露了漏洞6,英特尔于3月17日确认。

在我们的第一封电子邮件中,我们要求英特尔与我们协调及时通知受影响的各方。但是,英特尔没有采取任何行动,最终,在经过几次电子邮件交流后,他们只列出了他们要通知的5个参与者。然后,我们向他们发送了我们确定为受影响的其他各方的列表,包括11个OEM / ODM和Linux内核安全团队。最终,他们通知我们,他们于3月25日将漏洞和即将披露的信息告知了一些当事人,但没有向我们提供此信息的组成以及与谁联系的详细信息。在意识到他们已被英特尔跳过之后,我们又联系了几方。

最后,我们于4月17日通知了苹​​果漏洞7。

 

问题和解答

我有一台运行Windows的笔记本电脑或台式机。我受到影响了吗?

我有一台运行Linux的笔记本电脑或台式机。我受到影响了吗?

我有一台Apple Mac。我受到影响了吗?

我的系统受影响。我该如何保护自己?

我已将Thunderbolt配置为仅通过USB / DisplayPort。我受到保护吗?

什么是内核DMA保护?

启用内核DMA保护后,我的Thunderbolt设备停止工作。发生了什么?

Thunderspy变体5和6允许永久禁用安全性并阻止固件更新。我怎么知道我是否受到攻击?

为什么英特尔没有修复Thunderspy?

苹果为什么不修复Thunderspy?

英特尔表示,他们已经知道Thunderspy的变体1和2。为什么他们以前没有公开这些问题?

如何区分Thunderbolt设备和USB-C设备?

假设我无意中连接了伪装成USB-C的恶意Thunderbolt设备。如何防止它破坏系统?

USB-C是否受影响?

USB 4基于Thunderbolt3。此接口也会受到影响吗?

霹雳4是否受到影响?

Thunderspy如何增强以前的工作,例如PCILeech和Thunderclap?

完整的摘要提到此公开内容是正在进行的研究的一部分。还会有更多吗?

为什么叫Thunderspy?

我可以使用徽标吗?

 

媒体中的雷电

2020年5月10日,连线》,“雷电漏洞将数百万台PC暴露给动手黑客”

埃因霍温科技大学,2020年5月11日,“埃因霍温安全研究人员发现Thunderbolt中的致命漏洞”

2020年5月11日,Engadget,“雷电漏洞使黑客能够在“五分钟”内窃取您的数据”

2020年5月11日,计算机库,“雷电:艾伦·雷伯特-Generationen的Sicherheitslücken”

2020年5月11日,The Verge,“雷电漏洞允许在几分钟内访问PC数据”

2020年5月11日,ZDNet,“雷电漏洞影响数百万台计算机-即使锁定无人看管的设备也无济于事”

2020年5月11日,Tweakers“ Eindhovense onderzoeker kraakt Thunderbolt 3-beveiliging”

2020年5月11日,国家统计局“ Nederlandse onderzoeker vindt lek装在计算机中”

2020年5月11日,RTL Nieuws,“’miljoenen apparaten kwetsbaar中的Thunderbolt-poorten’”

2020年5月11日,TechPowerUp,“在Thunderbolt端口中发现无法修复的缺陷,可在不到5分钟的时间内解锁任何PC”

2020年5月11日,埃因霍温斯·达格布拉德(Eindhovens Dagblad),“ TU / e-tutukt beveiligingslek in veelgebruikte verbinding”

 

致谢

Thunderspy的作者要感谢教授。博士 Tanja Lange和Jacob Appelbaum指导了荷兰埃因霍温科技大学的理学硕士论文,该论文是其中的一部分。

安全工具安全管理漏洞质量好文

2020年-攻防演练弹药库-fofa指纹都给你了就差替你日了

2020-5-12 11:09:52

漏洞系统安全网络安全

GhostCat漏洞的一些见解

2020-5-13 10:27:17

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
有新私信 私信列表
有新消息 消息中心
搜索