Conheça Thunderspy – uma série de falhas da tecnologia Thunderbolt

Confira os detalhes de uma série de falhas da tecnologia Thunderbolt chamada genericamente de Thunderspy!

A Intel divulgou informações sobre uma série de falhas da tecnologia Thunderbolt chamada genericamente de . Confira os detalhes dessa ameaça.

Thunderbolt é uma interface universal que serve para conectar periféricos que combinam as interfaces PCIe (PCI Express) e DisplayPort em um único cabo. O padrão Thunderbolt foi desenvolvido pela Intel e Apple e é usado em muitos laptops e PCs modernos.

Os dispositivos Thunderbolt baseados em PCIe apresentam E/S de acesso direto à memória, representando uma ameaça de ataques de DMA para ler e gravar toda a memória do sistema ou capturar dados de dispositivos criptografados.

Para evitar tais ataques, a Thunderbolt propôs o conceito de “Níveis de ”, que permite o uso de dispositivos apenas autorizados pelo usuário e utiliza autenticação criptográfica das conexões para proteção contra fraudes de identidade.

Recentemente foram divulgadas informações sobre sete vulnerabilidades que afetam os computadores Thunderbolt, essas vulnerabilidades conhecidas foram listadas como “Thunderspy” e com elas um invasor pode fazer uso para contornar todos os principais componentes para garantir a segurança do Thunderbolt.

Conheça Thunderspy – uma série de falhas da tecnologia Thunderbolt

conheca thunderspy uma serie de falhas da tecnologia thunderbolt - Conheça Thunderspy - uma série de falhas da tecnologia Thunderbolt
Conheça Thunderspy – uma série de falhas da tecnologia Thunderbolt

Com base nos problemas identificados, são propostos nove cenários de ataque que são implementados se o invasor tiver acesso local ao sistema conectando um dispositivo malicioso ou manipulando o firmware do computador.

Os cenários de ataque incluem a capacidade de criar identificadores para dispositivos Thunderbolt arbitrários, clonar dispositivos autorizados, acesso aleatório à memória do sistema via DMA e substituir as configurações de nível de segurança, incluindo desativar completamente todos os mecanismos de proteção, bloquear a instalação de atualizações de firmware e converter a interface para o modo Thunderbolt em sistemas limitados ao encaminhamento via USB ou DisplayPort.

Das vulnerabilidades identificadas, estas permitem evitar esse link e conectar um dispositivo malicioso sob o disfarce de um autorizado.

Além disso, é possível modificar o firmware e transferir o SPI Flash para o modo somente leitura, que pode ser usado para desativar completamente os níveis de segurança e impedir atualizações de firmware (os utilitários tcfp e spiblock foram preparados para essas manipulações).

  • Usando esquemas de verificação de firmware inadequados.
  • Use um esquema de autenticação de dispositivo fraco.
  • Baixe metadados de um dispositivo não autenticado.
  • Existência de mecanismos para garantir a compatibilidade com versões anteriores, permitindo o uso de ataques de reversão a tecnologias vulneráveis.
  • Use parâmetros de configuração de um controlador não autenticado.
  • Defeitos na interface do SPI Flash.
  • Falta de proteção no nível do Boot Camp.

A vulnerabilidade aparece em todos os dispositivos equipados com Thunderbolt 1 e 2 (baseado em Mini DisplayPort) e Thunderbolt 3 (baseado em USB-C).

Ainda não está claro se os problemas aparecem em dispositivos com USB 4 e Thunderbolt 4, pois essas tecnologias foram apenas anunciadas e não há como verificar sua implementação.

As vulnerabilidades Thunderspy não podem ser reparadas pelo software e requerem o processamento de componentes de hardware.

Ao mesmo tempo, para alguns novos dispositivos, é possível bloquear alguns problemas relacionados ao DMA usando o mecanismo de proteção do Kernel do DMA, cujo suporte foi introduzido desde 2019 (ele é suportado no kernel do Linux desde a versão 5.0, você pode verificar inclusão via /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection).

Por fim, para testar todos os dispositivos em que há dúvida se eles são suscetíveis a essas vulnerabilidades, foi proposto um script chamado “Spycheck Python”, que requer a execução como root para acessar a tabela DMI, ACPI DMAR e WMI.

Como medidas para proteger sistemas vulneráveis, recomenda-se que você não deixe o sistema sem vigilância, ligado ou no modo de espera, além de não conectar outros dispositivos Thunderbolt, não deixe ou transfira seus dispositivos para estranhos e também forneça proteção física para seus dispositivos.

Além disso, se não houver necessidade de usar o Thunderbolt no computador, é recomendável desabilitar o driver Thunderbolt no UEFI ou BIOS (embora seja mencionado que isso pode fazer com que as portas USB e DisplayPort fiquem inoperantes se implementadas pelo driver Thunderbolt )

O que está sendo falado no blog

Veja mais artigos publicados neste dia…

Ajude a manter o Blog do Edivaldo - Faça uma doação

Se você gosta do conteúdo do Blog, você pode ajudar a manter o site simplesmente fazendo uma doação única, esporádica ou mensal, usando uma das opções abaixo:

Doação usando Paypal

Doação usando PagSeguro
Outras formas de ajudar a manter o Blog do Edivaldo