Linux Adictos David Naranjo  

Thunderspy: una serie de ataques contra equipos con Thunderbolt

Hace poco se dio a conocer información sobre siete vulnerabilidades que afectan a equipos con Thunderbolt, estas vulnerabilidades conocidas fueron catalogadas como “Thunderspy” y con ellas un atacante puede hacer uso para eludir todos los componentes principales garantiza la seguridad Thunderbolt.

En función de los problemas identificados, se proponen nueve escenarios de ataque que se implementan si el atacante tiene acceso local al sistema mediante la conexión de un dispositivo malicioso o la manipulación del firmware del equipo.

Los escenarios de ataque incluyen la capacidad de crear identificadores para dispositivos Thunderbolt arbitrarios, clonar dispositivos autorizados, acceso aleatorio a la memoria del sistema a través de DMA y anular la configuración del nivel de seguridad, incluida la desactivación completa de todos los mecanismos de protección, bloquear la instalación de actualizaciones de firmware y traducir la interfaz al modo Thunderbolt en sistemas limitados al reenvío a través de USB o DisplayPort.

Sobre Thunderbolt

Para quienes desconocen de Thunderbolt, deben saber que esta es una interfaz universal que sirve para conectar periféricos que combina las interfaces PCIe (PCI Express) y DisplayPort en un solo cable. Thunderbolt fue desarrollado por Intel y Apple y se usa en muchas computadoras portátiles y PC modernas.

Los dispositivos Thunderbolt basados ​​en PCIe cuentan con I/O de acceso directo a memoria, lo que representa una amenaza de ataques DMA para leer y escribir toda la memoria del sistema o capturar datos de dispositivos cifrados. Para evitar tales ataques, Thunderbolt propuso el concepto de “Niveles de seguridad”, que permite el uso de dispositivos solo autorizados por el usuario y utiliza la autenticación criptográfica de las conexiones para proteger contra el fraude de identidad.

Sobre Thunderspy

De las vulnerabilidades identificadas, estas hacen posible el poder evitar dicho enlace y conectar un dispositivo malicioso bajo la apariencia de uno autorizado. Además, es posible modificar el firmware y transferir SPI Flash al modo de solo lectura, que se puede utilizar para desactivar completamente los niveles de seguridad y evitar actualizaciones de firmware (se han preparado las utilidades tcfp y spiblock para tales manipulaciones).

  • El uso de esquemas de verificación de firmware inadecuados.
  • Usar un esquema de autenticación de dispositivo débil.
  • Descargar metadatos de un dispositivo no autenticado.
  • Existencia de mecanismos para garantizar la compatibilidad con versiones anteriores, permitiendo el uso de ataques de reversión en tecnologías vulnerables.
  • Usar parámetros de configuración de un controlador no autenticado.
  • Defectos de interfaz para SPI Flash.
  • Falta de protección en el nivel de Boot Camp.

La vulnerabilidad aparece en todos los dispositivos equipados con Thunderbolt 1 y 2 (basado en Mini DisplayPort) y Thunderbolt 3 (basado en USB-C).

Todavía no está claro si aparecen problemas en dispositivos con USB 4 y Thunderbolt 4, ya que estas tecnologías solo se anuncian y no hay forma de verificar su implementación.

Las vulnerabilidades no pueden ser reparadas por el software y requieren el procesamiento de componentes de hardware. Al mismo tiempo, para algunos dispositivos nuevos, es posible bloquear parte de los problemas relacionados con DMA utilizando el mecanismo de protección DMA Kernel, cuyo soporte se ha introducido desde 2019 (se ha admitido en el kernel de Linux desde la versión 5.0, puede verificar la inclusión a través de /sys/bus/thunderbolt/devices/domainX/iommu_dma_protection“).

Finalmente, para poder probar todos aquellos dispositivos en los que se tenga duda si son susceptibles a estas vulnerabilidades, se propuso un script llamado “Spycheck Python”, que requiere ejecutarse como root para acceder a la tabla DMI, ACPI DMAR y WMI.

Como medidas para proteger los sistemas vulnerables, se recomienda que no se deje el sistema desatendido, encendido o en modo de espera, además de que no conecte otros dispositivos Thunderbolt, no se deje ni transfiera sus dispositivos a extraños y además se brinde protección física para sus dispositivos.

Además de que si no hay necesidad de usar Thunderbolt en el equipo, se recomienda deshabilitar el controlador Thunderbolt en UEFI o BIOS (aun que se menciona que se puede provocar la inoperancia de los puertos USB y DisplayPort si estos se implementan a través del controlador Thunderbolt).

Fuente: https://blogs.intel.com

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.