Logotyp: Markettos et al. // Sammansättning: ZDNet
Windows, Mac, Linux och FreeBSD system som alla påverkas av en ny sårbarhet som lämnas ut denna vecka på NDSS 2019 security conference.
Sårbarheten –heter Blixt– påverkar hur Thunderbolt-baserad kringutrustning är tillåtet att ansluta och interagera med dessa operativsystem, vilket gör att en skadlig enheten för att stjäla data direkt från operativsystemet minne, även mycket känslig information.
Forskargruppen bakom denna sårbarhet säger att “alla Apples bärbara datorer och stationära datorer som tillverkats sedan 2011 är utsatta, med undantag av 12-tums MacBook.”
På samma sätt, “många bärbara datorer och vissa stationära datorer, utformat för att köra Windows eller Linux produceras eftersom 2016 påverkas också,” så länge som de stödjer Thunderbolt-gränssnitt.
Vad är Thunderbolt?
Thunderbolt är namnet på en maskin-gränssnitt designad av Apple och Intel för att tillåta anslutning av externa enheter (tangentbord, laddare, video-projektorer, nätverkskort etc.) till en dator.
Dessa gränssnitt blev omåttligt populära, eftersom de i kombination med olika tekniker i en enda kabel, till exempel möjligheten att överföra LIKSTRÖM (för laddning ändamål), seriell data (via PCI Express), och video-utgång (via DisplayPort).
Tekniken var initialt tillgängligt för Apple-enheter, men var senare tillgänglig för alla maskin-och programvaruleverantörer, blir allmänt förekommande idag, speciellt tack till standardens senaste version, Thunderbolt-3.
Men enligt forskarna, alla Thunderbolt-versioner påverkas av Blixt. Detta innebär Thunderbolt 1 och 2 (interface versioner att använda en Mini DisplayPort – [PROGRAMMET] – anslutning) och Thunderbolt-3 (en som fungerar via USB-C-portar).
Vad är Blixt?
Blixt är en samling av brister i det sätt Thunderbolt-gränssnitt har genomförts på operativsystem.
Kärnan i denna sårbarhet, forskare säger att de utnyttjar en OS-design problemet där operativsystemet automatiskt sätter tilltro till alla som nyligen ansluten kringutrustning, vilket ger tillgång till alla dess minne-ett tillstånd som kallas Direct Memory Access (DMA).
Blixt brister tillåter angripare att skapa skadlig, men fullt fungerande kringutrustning som när den är ansluten via en Thunderbolt-kompatibel port kan utföra sina normala verksamhet, men också att skadlig kod körs i operativsystemet bakgrund utan några begränsningar från den operativa.
Detta gör Blixt attack mycket farlig, eftersom det lätt kan döljas inuti några perifera.
Den Blixt sårbarheter ens klarar av att kringgå en OS-säkerhetsfunktion som kallas Input-Output-Memory Management Unit (IOMMUs) som hårdvara och OS beslutsfattare har skapats i början av 2000-talet för att motverka skadliga kringutrustning som missbrukar sin tillgång till hela OS-minne (i vad som är känt som en DMA-attack).
Anledningen till Blixt sårbarheter arbete mot IOMMU är antingen på grund av operativsystem inaktivera den här funktionen som standard eller, i de fall den funktionen har aktiverats av användaren, OS lämnar användaren data i samma minnesutrymme där den skadliga perifera driver sin exploit-kod, vilket gör IOMMU värdelös.
Vad görs åt det?
Forskare från University of Cambridge, Rice University, och SRI International upptäckte Blixt frågor tillbaka i 2016, och de har arbetat med hårdvara och OS-versioner för tre år i total tystnad för att få dem fast.
Men trots nästan tre år varning, OS beslutsfattare har varit långsamma med att reagera, med de flesta av Blixt attack variationer beskrivs i en forskningsrapport som publicerades i dag fortfarande arbetar. Här är det aktuella läget för patchar, enligt forskarna:
Windows – “Microsoft har aktiverat stöd för IOMMU för Thunderbolt-enheter i Windows version 10 1803, som levereras under 2018. Tidigare hårdvara uppgraderas till 1803 kräver en firmware-uppdatering från säljaren. Detta leder dem till utgångspunkt för vårt arbete, men mer komplexa sårbarhet beskriver vi fortfarande är relevanta.”
macOS – “I macOS 10.12.4 och senare, Apple tagit upp de specifika nätverkskort sårbarhet som vi använde för att uppnå en rot skal. Men den allmänna omfattningen av vårt arbete, fortfarande gäller, särskilt som Thunderbolt-enheter har tillgång till all nätverkstrafik och ibland tangenttryckningar och framebuffer data.”
Linux – “Nyligen Intel har bidragit patchar till version 5.0 av Linux-kärnan (som strax ska ut) som gör det möjligt för IOMMU för Thunderbolt och förhindra att skydd-bypass sårbarhet som använder ATS har PCI-Express.”
FreeBSD – “FreeBSD-Projektet anges som skadliga externa enheter som inte för närvarande inom sina hot modell för security response. Men, FreeBSD har för närvarande inte stöd för Thunderbolt hotplugging.”
Som tabellen nedan visar, de flesta Blixt brister är fortfarande ouppdaterad.
Bild: Markettos et al.
Under tiden, användarna uppmanas att inaktivera Thunderbolt-portar via BIOS/UEFI firmware-inställningar och för att undvika att koppla in kringutrustning från opålitliga källor.
Teknisk information om Blixt brister finns i en uppsats med titeln “Thunderclap: att Utforska Sårbarheter i Operativsystem IOMMU Skydd via DMA från Opålitliga Kringutrustning,” tillgänglig för nedladdning i PDF-format från här och här, med mer information här.
Forskargruppen har också släppt “Thunderclap plattform” på GitHub, som är en samling av färdiga proof-of-concept kod för att skapa skadlig Blixt kringutrustning.
Extra detaljer finns också på en särskild webbplats och i detta blogginlägg.
Som en avslutande anmärkning, Thunderclap sårbarheter kan också utnyttjas av äventyras PCI Express (PCIe) kringutrustning, som plug-in-kort eller marker fastlödda på moderkortet, men dessa attacker kräver att kompromissa med de perifera firmware, vilket gör attacken mycket svårare att dra bort än att bara ansluta en laddare eller video projektor via en Thunderbolt-gränssnitt.
Relaterade it-säkerhet nyheter täckning:
Hackare kan stjäla bare-metal-cloud-servrar genom att korrumpera deras BMC firmwareA tredjedel av alla Chrome-tillägg begära att få tillgång till användarnas uppgifter om någon siteResearchers dölja skadlig kod i godartade appar med hjälp av spekulativ exekvering
Nya webbläsare attack kan hackare köra dålig kod även när användare lämnar en web pageResearchers bryta digitala signaturer för de flesta stationära PDF viewersIt hackare tog bara tre dagar för att börja utnyttja senaste Drupal-bugg
Större sårbarhet som finns i Android ES File Explorer-appen TechRepublicXiaomi elektrisk skoter enligt uppgift utsatta för kapning hacka CNET
Relaterade Ämnen:
Hårdvara
Säkerhet-TV
Hantering Av Data
CXO
Datacenter