Thunderclap漏洞允许创建高度危险的恶意外围设备

Windows,Mac,Linux和FreeBSD系统都受到本周在NDSS 2019安全会议上披露的新漏洞的影响。

该漏洞名为Thunderclap,影响了基于Thunderbolt的外围设备与这些操作系统进行连接和交互的方式,从而使恶意设备可以直接从操作系统的内存中窃取数据,包括高度敏感的信息。

该漏洞背后的研究小组表示:“自2011年以来生产的所有Apple笔记本电脑和台式机都非常脆弱,只有12英寸MacBook除外。”

同样,只要支持Thunderbolt接口,“设计用于运行自2016年以来生产的Windows或Linux的许多笔记本电脑和某些台式机也会受到影响”。

什么是雷电?

Thunderbolt是Apple和I​​ntel设计的硬件接口的名称,该硬件接口允许将外部外围设备(键盘,充电器,视频投影仪,网卡等)连接到计算机。

这些接口之所以大受欢迎,是因为它们将不同的技术组合到一条电缆中,例如能够传输DC电源(用于充电),串行数据(通过PCI Express)和视频输出(通过DisplayPort)。

该技术最初可用于Apple设备,但后来可用于所有硬件供应商,如今变得无处不在,尤其要感谢该标准的最新版本Thunderbolt 3。

但是据研究团队称,所有Thunderbolt版本均受Thunderclap影响。这表示Thunderbolt 1和2(使用Mini DisplayPort [MDP]连接器的接口版本)和Thunderbolt 3(可通过USB-C端口工作的接口)。

什么是THUNDERCLAP?

Thunderclap是在操作系统上实现Thunderbolt硬件接口的方式中的一系列缺陷。

研究人员说,此漏洞的核心是利用操作系统的设计问题,即操作系统会自动信任任何新连接的外围设备,并授予其对其所有内存的访问权限-一种称为直接内存访问(DMA)的状态。

Thunderclap漏洞使攻击者可以创建恶意但功能齐全的外围设备,这些外围设备通过具有Thunderbolt功能的端口连接时可以执行其正常操作,而且还可以在操作系统的后台运行恶意代码,而不受操作的任何限制。

这使Thunderclap攻击非常危险,因为它很容易隐藏在任何外围设备中。

Thunderclap漏洞甚至能够绕过称为输入输出内存管理单元(IOMMU)的操作系统安全功能,该功能是硬件和操作系统制造商在2000年代初创建的,用于对付滥用其对整个操作系统内存的访问权限的恶意外围设备。称为DMA攻击)。

Thunderclap漏洞针对IOMMU起作用的原因是操作系统默认情况下禁用了此功能,或者在用户启用该功能的情况下,操作系统将用户数据留在了恶意外围设备运行其利用代码的相同内存空间中。 ,使IOMMU毫无用处。

正在做什么呢?

剑桥大学,莱斯大学和SRI International的研究人员早在2016年就发现了Thunderclap问题,并且他们一直在使用硬件和OS版本三年之久,完全保持沉默以修复它们。

但是,尽管发出了将近三年的警告,但操作系统制造商反应迟钝,今天发表的研究论文中描述的大多数Thunderclap攻击变体仍然有效。研究人员称,这是补丁的当前状态:

Windows-“ Microsoft已在2018年发布的Windows 10版本1803中启用了对Thunderbolt设备的IOMMU的支持。较早的硬件升级到1803需要供应商进行固件更新。这使它们与我们的工作基准一致,但是我们描述的更复杂的漏洞仍然有意义。”

macOS-“在macOS 10.12.4和更高版本中,Apple解决了我们用于实现root shell的特定网卡漏洞。但是,我们的总体工作范围仍然适用;特别是Thunderbolt设备可以访问所有网络流量,有时还可以击键和帧缓冲数据。”

Linux-“最近,英特尔为Linux内核5.0版(即将发布)提供了补丁,这些补丁使IOMMU for Thunderbolt成为可能,并防止了使用PCI Express的ATS功能的保护绕过漏洞。”

FreeBSD-“ FreeBSD项目表明恶意外围设备当前不在其威胁模型中,无法做出安全响应。但是,FreeBSD当前不支持Thunderbolt热插拔。”

如下表所示,大多数Thunderclap缺陷仍未修复。

同时,建议用户通过BIOS / UEFI固件设置禁用Thunderbolt端口,并避免从不受信任的来源插入外围设备。

关于迅雷漏洞的技术细节在题为研究论文获得“雷霆一击:在通过DMA操作系统IOMMU保护靠不住的外设探索漏洞,”可供下载的PDF格式从这里和这里,更多的细节在这里。

研究团队还在GitHub上发布了“ Thunderclap平台 ”,该平台是用于创建恶意Thunderclap外围设备的现成概念验证代码的集合。

有关更多详细信息,请访问专用网站和此博客文章。

最后,受损害的PCI Express(PCIe)外设,例如插入卡或焊接在主板上的芯片,也可以利用Thunderclap漏洞,但是这些攻击需要破坏外设的固件,这使得攻击更难进行。不仅仅是通过Thunderbolt接口插入充电器或视频投影仪。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。