۷ آسیب پذیری جدید همه‌ی رایانه‌های مجهز به thunderbolt فروخته‌شده در ۹ سال گذشته را تحت تأثیر قرار می‌دهد

یکی از پژوهش‌گران امنیت سایبری ۷ آسیب‌پذیری سخت‌افزاری جدید را کشف کرد که قابل وصله شدن نیستند و همه‌ی رایانه‌های رومیزی و لپ‌تاپ‌های فروخته‌شده در ۹ سال گذشته را که مجهز به Thunderbolt و یا درگاه‌های USB-C سازگار با Thunderbolt هستند، تحت تأثیر قرار می‌دهد.

این آسیب‌پذیری‌ها که در مجموع ThunderSpy نامیده می‌شوند، در ۹ سناریوی حمله‌ی واقعی و در درجه‌ی اول برای سرقت داده یا نوشتن و خواندن کل حافظه‌ی سیستم یک رایانه‌ی قفل یا در حالت خواب قابل بهره‌برداری هستند، حتی زمانی که درایوها با رمزنگاری کامل حافظه محافظت شده باشند.

برای حمله‌ی ThunderSpy ممکن است به باز کردن لپ‌تاپ هدف با یک پیچ‌گوشتی نیاز باشد، اما هیچ اثری از نفوذ باقی نمی‌ماند.

به عبارت دیگر، این آسیب‌پذیری به فعالیت شبکه و یا هیچ یک از مؤلفه‌های مرتبط با آن مربوط نیست و درنتیجه به‌صورت از راه دور قابل بهره‌برداری نیست.

 ThunderSpy درصورتی‌که کاربر در زمان قفل کردن یا به حالت خواب درآوردن رایانه‌ی خود در زمان ترک آن از بهترین روش‌های امنیتی استفاده کند و حتی درصورتی‌که مدیر سیستم کاربر Secure Boot و BIOS قدرتمند و گذرواژه‌های سیستم عامل را تنظیم کرده باشد و رمزنگاری کامل حافظه را فعال کرده باشد، کار می‌کند.

علاوه‌بر رایانه‌هایی که سیستم عامل‌های ویندوز یا لینوکس را اجرا می‌کنند، مک‌بوک‌های اپل مجهز به Thunderbolt به جز نسخه‌های retina که از سال ۲۰۱۱ میلادی به فروش رسیده است، در مقابل حمله‌ی ThunderSpy آسیب‌پذیر هستند.

فهرست زیر که شامل ۷ آسیب‌پذیری ThunderSpy است Thunderbolt نسخه‌های ۱، ۲ و ۳ را تحت تأثیر قرار می‌دهد و برای ایجاد هویت‌های دلخواه دستگاه Thunderbolt، شبیه‌سازی دستگاه‌های Thunderbolt موردتأیید کاربر و درنهایت دست‌یابی به اتصال PCIe برای انجام حملات DMA مورد بهره‌برداری قرار می‌گیرد.

• برنامه‌های نامناسب تأیید ثابت‌افزار
• برنامه‌ی ضعیف احرازهویت دستگاه
• استفاده از فراداده‌ی دستگاه‌ی احراز هویت‌نشده
• Downgrade attack با استفاده از سازگاری با نسخه‌های قبلی
• استفاده از پیکربندی‌های کنترل‌کننده‌ی احرازهویت‌نشده
• نقص‌های رابط فلش SPI
• عدم وجود امنیت Thunderbolt در Boot Camp

حملات مبتنی‌بر DMA به مهاجمان اجازه می‌دهد تا رایانه‌های هدف را در عرض چند ثانیه و تنها با وصل کردن دستگاه‌های مخرب hot-plug‌ مانند یک کارت شبکه‌ی خارجی، ماوس، صفحه‌کلید، چاپگر یا حافظه به درگاه Thunderbolt یا جدیدترین درگاه USB-C در معرض خطر قرار دهند.

حملات DMA امکان‌پذیر هستند، زیرا درگاه Thunderbolt در سطح بسیار پایین و با دسترسی سطح بالا به رایانه کار می‌کند و به لوازم جانبی متصل اجازه می‌دهد تا سیاست‌های امنیتی سیستم عامل را دور بزنند و به‌طور مستقیم حافظه‌ی سیستم را که ممکن است حاوی اطلاعات حساس ازجمله گذرواژه‌ها، اطلاعات ورود به سیستم بانکی و فایل‌های خصوصی و فعالیت مرورگر باشد، بخوانند یا بنویسند.

برای جلوگیری از حملات DMA، اینتل برخی اقدامات مقابله‌ای را معرفی کرده است که یکی از آن‌ها security levels است که از اتصال دستگاه‌های مبتنی‌بر PCIe Thunderbolt بدون اجازه‌ی کاربر جلوگیری می‌کند.

برای تقویت هر چه بیشتر احراز هویت دستگاه، این سیستم، یک روش احراز هویت رمزنگاری‌شده برای اتصال‌ها ارائه می‌دهد تا از جعل دستگاه‌های موردتأیید کاربر جلوگیری کند.

بااین‌حال، با ترکیب سه آسیب‌پذیری اول ThunderSpy، یک مهاجم می‌تواند security levels را نقض کند و با جعل هویت دستگاه Thunderbolt یک دستگاه Thunderbolt مخرب غیرمجاز را متصل کند.

این آسیب‌پذیری امکان ایجاد هویت‌های جعلی دستگاه Thunderbolt را فراهم می‌کند. علاوه‌برآن، هنگامی که با آسیب‌پذیری دوم ترکیب می‌شود، هویت‌های جعلی Thunderbolt ممکن است به طور جزئی یا کامل داده‌ی دلخواه را در معرض خطر قرار دهند.

پژوهش‌گران با نشان دادن امکان غیرفعال کردن دائمی امنیت Thunderbolt و مسدود کردن همه‌ی به‌روزرسانی‌های ثابت‌افزاری آینده از این گزارش نتیجه‌گیری کردند که برخی از سیستم‌های اخیر موجود در بازار که از سال ۲۰۱۹ میلادی وارد بازار شدند ازجمله Kernel DMA protection تا حدودی با آسیب‌پذیری‌های ThunderSpy مقابله می‌کنند.

پژوهش‌گران یک ابزار متن‌باز و رایگانی به نام Spycheck عرضه کرده‌اند تا کاربران با استفاده از آن بدانند سیستم آن‌ها تحت تأثیر آسیب‌پذیری‌های ThunderSpy قرار گرفته است یا خیر؟

هنگامی که آسیب‌پذیری‌های ThunderSpy کشف و به اینتل گزارش شدند، این شرکت اعلام کرد که از برخی از آن‌ها اطلاع داشت و هیچ برنامه ای برای وصله‌ی آن یا افشای آن به‌صورت عمومی نداشت.

گفته می‌شود که برخی آسیب پذیری‌های دیگر نیز در پروتکل Thunderbolt کشف شده است که درحال‌حاضر درحال بررسی هستند و انتظار می‌رود که Thunderspy 2 نیز به‌زودی افشا شود.

در پایان به کاربران توصیه می‌شود که خود را یک هدف بالقوه برای این حملات در نظر بگیرند و سیستم Thunderbolt خود را همراه خود ببرند و از رها کردن دستگاه‌های خود بدون محافظت خودداری کنند یا سیستم را به‌طور کامل خاموش کنند و یا حداقل به جای حالت خواب از حالت hibernation استفاده کنند. همچنین مراقب لوازم جانبی Thunderbolt خود باشند و آن‌ها را در اختیار کسی قرار ندهند.

منبع