微软为何不使用Thunderbolt 3端口呢?这是因为他们认为Thunderbolt端口提供了直接访问PC内存的不安全访问,可能会导致各种漏洞和安全威胁。果不其然,近日安全研究人员Björn Ruytenberg演示了一种能够轻松绕过英特尔Thunderbolt安全功能,允许黑客从锁定和加密的PC中复制内存或者轻松绕过锁屏的破解方式。
在演示过程中他使用了一项名为Thunderspy的工具,主要利用了以下漏洞进行攻击
● 不完善的固件验证方案
● 弱化的设备认证方案
● 使用未经认证的设备元数据
● 利用向后兼容性进行降级攻击
● 使用未经认证的控制器配置
● SPI闪存接口的缺陷
● Boot Camp上没有Thunderbolt安全系统
该工具允许有物理访问权限的攻击者永久地重新编程你的PC,并从此允许任何人绕过各种安全措施直接访问内存。Ruytenberg在下面的视频中演示了这一攻击。
他的工具允许创建任意的Thunderbolt设备身份,克隆用户授权的Thunderbolt设备,最后获得PCIe连接,以执行DMA攻击。此外,它还允许未经认证的覆盖安全级别配置,包括完全禁用Thunderbolt安全。
如果系统被限制只通过USB和/或DisplayPort传输,还可以恢复Thunderbolt连接,最后还可以永久禁用Thunderbolt安全,并阻止后续的所有固件更新。
Ruytenberg指出,所有在2011-2020年之间出货、配备Thunderbolt的设备都容易受到攻击。此外自2019年以来提供Kernel DMA保护的设备,都存在该漏洞。Thunderspy漏洞无法在软件中修复,会影响到未来的USB 4和Thunderbolt 4等标准,最终需要重新设计芯片。
在较新的PC上(2019年起),英特尔的内核DMA保护提供了一定的保护,但有趣的是,当苹果MacOS笔记本启动到Bootcamp时,所有的Thunderbolt安全都被禁用。
Ruytenberg正在提供一个开源工具Spycheck,可以验证你的系统是否受到Thunderspy的攻击。如果发现有漏洞,Spycheck会指导用户如何帮助保护系统的建议。如果你有一个受影响的系统,Ruytenberg建议:
● 只连接自己的Thunderbolt外设。千万不要把它们借给别人。
● 避免让系统在开机时无人看管,即使是在锁屏状态下也不要离开设备。
● 避免让你的Thunderbolt外设无人看管。
● 在存储系统和任何Thunderbolt设备时,确保适当的物理安全,包括Thunderbolt供电的显示器。
● 考虑使用休眠模式(Suspend-to-Disk)或完全关闭系统电源。具体来说,避免使用休眠模式(Suspend-to-RAM)。