A Intel divulgou informações sobre uma série de falhas da tecnologia Thunderbolt chamada genericamente de Thunderspy. Confira os detalhes dessa ameaça.
Thunderbolt é uma interface universal que serve para conectar periféricos que combinam as interfaces PCIe (PCI Express) e DisplayPort em um único cabo. O padrão Thunderbolt foi desenvolvido pela Intel e Apple e é usado em muitos laptops e PCs modernos.
Os dispositivos Thunderbolt baseados em PCIe apresentam E/S de acesso direto à memória, representando uma ameaça de ataques de DMA para ler e gravar toda a memória do sistema ou capturar dados de dispositivos criptografados.
Para evitar tais ataques, a Thunderbolt propôs o conceito de “Níveis de segurança”, que permite o uso de dispositivos apenas autorizados pelo usuário e utiliza autenticação criptográfica das conexões para proteção contra fraudes de identidade.
Recentemente foram divulgadas informações sobre sete vulnerabilidades que afetam os computadores Thunderbolt, essas vulnerabilidades conhecidas foram listadas como “Thunderspy” e com elas um invasor pode fazer uso para contornar todos os principais componentes para garantir a segurança do Thunderbolt.
Conheça Thunderspy – uma série de falhas da tecnologia Thunderbolt
Com base nos problemas identificados, são propostos nove cenários de ataque que são implementados se o invasor tiver acesso local ao sistema conectando um dispositivo malicioso ou manipulando o firmware do computador.
Os cenários de ataque incluem a capacidade de criar identificadores para dispositivos Thunderbolt arbitrários, clonar dispositivos autorizados, acesso aleatório à memória do sistema via DMA e substituir as configurações de nível de segurança, incluindo desativar completamente todos os mecanismos de proteção, bloquear a instalação de atualizações de firmware e converter a interface para o modo Thunderbolt em sistemas limitados ao encaminhamento via USB ou DisplayPort.
Das vulnerabilidades identificadas, estas permitem evitar esse link e conectar um dispositivo malicioso sob o disfarce de um autorizado.
Além disso, é possível modificar o firmware e transferir o SPI Flash para o modo somente leitura, que pode ser usado para desativar completamente os níveis de segurança e impedir atualizações de firmware (os utilitários tcfp e spiblock foram preparados para essas manipulações).
- Usando esquemas de verificação de firmware inadequados.
- Use um esquema de autenticação de dispositivo fraco.
- Baixe metadados de um dispositivo não autenticado.
- Existência de mecanismos para garantir a compatibilidade com versões anteriores, permitindo o uso de ataques de reversão a tecnologias vulneráveis.
- Use parâmetros de configuração de um controlador não autenticado.
- Defeitos na interface do SPI Flash.
- Falta de proteção no nível do Boot Camp.
A vulnerabilidade aparece em todos os dispositivos equipados com Thunderbolt 1 e 2 (baseado em Mini DisplayPort) e Thunderbolt 3 (baseado em USB-C).
Ainda não está claro se os problemas aparecem em dispositivos com USB 4 e Thunderbolt 4, pois essas tecnologias foram apenas anunciadas e não há como verificar sua implementação.
As vulnerabilidades Thunderspy não podem ser reparadas pelo software e requerem o processamento de componentes de hardware.
Ao mesmo tempo, para alguns novos dispositivos, é possível bloquear alguns dos problemas relacionados ao DMA usando o mecanismo de proteção do Kernel do DMA, cujo suporte foi introduzido desde 2019 (ele é suportado no kernel do Linux desde a versão 5.0, você pode verificar inclusão via /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection).
Por fim, para testar todos os dispositivos em que há dúvida se eles são suscetíveis a essas vulnerabilidades, foi proposto um script chamado “Spycheck Python”, que requer a execução como root para acessar a tabela DMI, ACPI DMAR e WMI.
Como medidas para proteger sistemas vulneráveis, recomenda-se que você não deixe o sistema sem vigilância, ligado ou no modo de espera, além de não conectar outros dispositivos Thunderbolt, não deixe ou transfira seus dispositivos para estranhos e também forneça proteção física para seus dispositivos.
Além disso, se não houver necessidade de usar o Thunderbolt no computador, é recomendável desabilitar o driver Thunderbolt no UEFI ou BIOS (embora seja mencionado que isso pode fazer com que as portas USB e DisplayPort fiquem inoperantes se implementadas pelo driver Thunderbolt )
- Como instalar o jogo AstroMenace no Linux via Flatpak
- Como instalar o jogo Biplanes Revival no Linux via Flatpak
- Instalando o simulador de corridas Speed Dreams no Linux
- Como instalar o jogo de corrida SuperTuxKart no Linux