Logo: Markettos et al. // Composizione: ZDNet
Windows, Mac, Linux e FreeBSD e i sistemi sono tutti colpiti da una nuova vulnerabilità che è stato divulgato questa settimana NDSS 2019 conferenza di sicurezza.
La vulnerabilità –chiamato rombo di Tuono– colpisce il modo in cui Thunderbolt a base di periferiche sono autorizzati a connettersi e interagire con questi sistemi operativi, consentendo un dispositivo maligno di rubare i dati direttamente dalla memoria del sistema operativo, tra cui informazioni altamente sensibili.
Il team di ricerca dietro questa vulnerabilità dice che “tutti gli Apple portatili e desktop prodotta a partire dal 2011 sono vulnerabili, con l’eccezione della 12-pollici MacBook.”
Allo stesso modo, “molti computer portatili e alcuni desktop, progettato per eseguire Windows o Linux prodotta a partire dal 2016 sono anche colpiti,” fintanto che il supporto Thunderbolt interfacciamento.
Che cosa è Thunderbolt?
Thunderbolt è il nome di una interfaccia hardware progettato da Apple e Intel per consentire la connessione di periferiche esterne (tastiere, caricabatterie, video proiettori, schede di rete, etc.) per un computer.
Queste interfacce è diventato molto popolare perché hanno combinato di diverse tecnologie in un unico cavo, come la capacità di trasmissione di alimentazione DC (per la ricarica), dati seriali (via PCI Express), e l’uscita video (tramite DisplayPort).
La tecnologia è stata inizialmente disponibile per i dispositivi Apple, ma è stato successivamente reso disponibile per tutti i produttori di hardware, diventando onnipresente al giorno d’oggi, soprattutto grazie allo standard, ultima versione, Thunderbolt 3.
Ma secondo il team di ricercatori, tutti Thunderbolt versioni sono interessati da rombo di Tuono. Questo significa Thunderbolt 1 e 2 (le versioni di interfaccia che uso un adattatore da Mini DisplayPort [MDP] connettore) e Thunderbolt 3 (quello che funziona via USB-C porte).
Che cosa è rombo di Tuono?
Rombo di tuono è una raccolta di difetti nel modo in cui il Thunderbolt interfaccia hardware è stato implementato su sistemi operativi.
Al centro di questa vulnerabilità, i ricercatori dicono che stanno sfruttando un design OS problema per cui il sistema operativo automaticamente ripone fede in ogni nuova periferica collegata, garantendo l’accesso a tutti la sua memoria –uno stato noto come l’Accesso Diretto alla Memoria (DMA).
Rombo di tuono difetti consentono di creare dannoso, ma pienamente funzionante, periferiche che, quando collegato via Thunderbolt in grado di porta possono svolgere le loro normali operazioni, ma anche di eseguire codice dannoso nel sistema operativo in background, senza alcuna restrizione operativa.
Questo rende il Rombo di un attacco molto pericoloso, in quanto può essere facilmente nascosto all’interno di qualsiasi periferica.
Il Rombo di vulnerabilità sono anche in grado di bypassare una protezione del sistema operativo della funzione di Input-Output di Memoria Unità di Gestione (IOMMUs) che hardware e OS produttori hanno creato nei primi anni del 2000 per contrastare i dannosi periferiche che abusano del loro accesso a tutta la memoria del sistema operativo (in quello che è conosciuto come un DMA attacco).
Il motivo per cui rombo di Tuono vulnerabilità lavoro contro IOMMU sia perché i sistemi operativi disattivare questa funzione di default,, o, nel caso la funzione è stata abilitata dall’utente, il sistema operativo lascia utente i dati nello stesso spazio di memoria in cui il maligno periferica viene eseguito il codice di exploit, rendendo IOMMU inutile.
Che cosa è stato fatto?
I ricercatori dell’Università di Cambridge, la Rice University, e SRI International scoperto il Rombo dei problemi nel 2016, e hanno lavorato con l’hardware e le versioni di OS per tre anni, nel silenzio assoluto di averli fissi.
Tuttavia, nonostante i quasi tre anni di avviso, responsabili OS sono stati lenti a reagire, con la maggior parte delle rombo di Tuono attacco variazioni descritte in un documento di ricerca pubblicato ancora oggi funzionante. Ecco lo stato attuale delle patch, secondo i ricercatori:
Windows – “Microsoft hanno abilitato il supporto per il IOMMU per dispositivi Thunderbolt in Windows 10 versione 1803, fornito nel 2018. Precedenti con hardware aggiornato al 1803, richiede un aggiornamento del firmware da parte del venditore. Questo li porta in linea con la linea di base per il nostro lavoro, tuttavia, la più complessa vulnerabilità descriviamo rimangono rilevanti.”
macOS – “In macOS 10.12.4 e più tardi, Apple ha risolto la specifica scheda di rete vulnerabilità che abbiamo usato per ottenere una shell di root. Tuttavia, la portata generale del nostro lavoro sono ancora valide; in particolare, che i dispositivi Thunderbolt avere accesso a tutto il traffico di rete e, a volte, di sequenze di tasti e framebuffer dati.”
Linux – “di Recente, Intel hanno contribuito patch per la versione 5.0 del kernel Linux (che a breve sarà rilasciato) che consentono la IOMMU per Thunderbolt, e di evitare che la tutela di bypass della vulnerabilità che utilizza l’ATS funzione di PCI Express.”
FreeBSD – “Il Progetto FreeBSD ha indicato che dannoso periferiche non sono attualmente all’interno del loro modello di minaccia per la sicurezza di risposta. Tuttavia, FreeBSD non è attualmente supporto Thunderbolt hotplugging.”
Come la tabella qui sotto mostra, più di rombo di Tuono difetti sono ancora senza patch.
Immagine: Markettos et al.
Nel frattempo, si consiglia agli utenti di disattivare le porte Thunderbolt via BIOS/UEFI firmware e impostazioni per evitare di collegare periferiche da fonti non attendibili.
Dettagli tecnici circa il rombo di Tuono difetti sono disponibili in un documento di ricerca dal titolo “rombo di Tuono: Esplorare le Vulnerabilità nel Sistema Operativo IOMMU Protezione tramite DMA da Inaffidabile Periferiche”, disponibile per il download in formato PDF da qui, e qui, con più dettagli qui.
Il team di ricerca ha anche rilasciato il “rombo di Tuono” piattaforma su GitHub, che è una collezione di ready-made proof-of-concept codice per creare dannosi rombo di Tuono periferiche.
Dettagli aggiuntivi sono disponibili su un sito web dedicato e in questo post del blog.
Come nota di chiusura, Rombo di vulnerabilità può essere sfruttata da compromessi PCI Express (PCIe) periferiche, come ad esempio le schede plug-in o chip saldato alla scheda madre, ma questi attacchi richiedono compromettere la periferica firmware, rendendo l’attacco molto più difficile da tirare fuori solo di collegare un caricabatterie o un video proiettore tramite un interfaccia Thunderbolt.
Relative cybersecurity notizie:
Gli hacker sono in grado di dirottare bare-metal server cloud di corrompere la loro BMC firmwareA terzo di tutte le estensioni di Chrome richiesta di accesso ai dati dell’utente su qualsiasi siteResearchers nascondere malware benigno applicazioni con l’aiuto di esecuzione speculativa
Il nuovo browser di attacco consente agli hacker di eseguire codice non valido anche dopo che gli utenti di lasciare un web pageResearchers rompere le firme digitali per la maggior parte dei desktop PDF viewersIt hacker ha preso solo tre giorni per iniziare a sfruttare ultima Drupal bug
Le principali vulnerabilità trovato in Android ES File Explorer app TechRepublicXiaomi scooter elettrico riferito vulnerabili agli attacchi degli hacker hack CNET
Argomenti Correlati:
Hardware
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati