Logo: Markettos et al. // Sammensætning: ZDNet
Windows, Mac, Linux og FreeBSD-systemer er alle påvirket af en ny sårbarhed, der blev offentliggjort i denne uge på NDSS 2019 sikkerhed konference.
Sårbarheden –opkaldt Tordenskrald– påvirker den måde Thunderbolt-baserede enheder er tilladt at tilslutte til og interagere med disse operativsystemer, der giver en skadelig enhed til at stjæle data direkte fra det operativsystem, hukommelse, herunder meget sensitive oplysninger.
Forskerholdet bag denne sårbarhed siger, at “alle Apple bærbare og stationære computere, der er produceret siden 2011 er sårbare, med undtagelse af 12-tommer MacBook.”
På samme måde, “mange bærbare computere, og nogle skriveborde, der er designet til at køre Windows eller Linux, der er produceret siden 2016 er også ramt,” så længe de understøtter Thunderbolt-interface.
Hvad er Thunderbolt?
Thunderbolt er navnet på en hardware-grænseflade, der er designet af Apple og Intel for at tillade tilslutning af eksterne enheder (tastatur, opladere, video projektorer, netkort osv.) til en computer.
Disse grænseflader blev vildt populære, fordi de kombineres forskellige teknologier i ét enkelt kabel, såsom evnen til at overføre DC-strøm (for opladning formål), serial data (via PCI-Express), og video-udgang (via DisplayPort).
Teknologien blev oprindeligt til rådighed for Apple enheder, men blev senere stilles til rådighed for alle hardware-leverandører, at blive allestedsnærværende i dag, især takket være den standard nyeste version, Thunderbolt 3.
Men ifølge forskergruppen, at alle Thunderbolt-versioner er påvirket af Tordenskrald. Dette betyder, at Thunderbolt 1 og 2 (interface version, der bruger et DisplayPort – [MDP] – stikket) og Thunderbolt-3 (en, der virker via USB-C-porte).
Hvad er Tordenskrald?
Tordenskrald er en samling af fejl i den måde Thunderbolt-hardware-grænseflade er blevet gennemført på operativsystemer.
Kernen af denne sårbarhed, forskere siger, at de udnytter OS en design udgave, hvor operativsystemet automatisk sætter troen i et nyligt tilsluttet perifere, som giver det adgang til alt i sin hukommelse-en tilstand kendt som Direct Memory Access (DMA).
Tordenskrald fejl giver angriberne mulighed for at skabe skadelige, men fuldt fungerende enheder, der, når den er tilsluttet via en Thunderbolt-kompatibel port kan udføre deres normale drift, men også køres skadelig kode i operativsystemet baggrund uden nogen begrænsning af drift.
Dette gør Tordenskrald angreb, som er yderst farlig, da det kan være let skjult inde i en af perifere.
Den Tordenskrald sårbarheder er selv i stand til at omgå en OS-sikkerhedsfunktion, der er kendt som ” Input-Output-Styring af Hukommelse Enheder (IOMMUs), at hardware og OS producenter har skabt i begyndelsen af 2000’erne at modvirke skadelige periferiudstyr, der misbruger deres adgang til hele OS hukommelse (i hvad der er kendt som en DMA-angreb).
Grunden til, at Tordenskrald sårbarheder arbejde mod IOMMU er enten fordi operativsystemer deaktivere denne funktion som standard, eller, i tilfælde, funktionen er blevet aktiveret af brugeren, OS efterlader brugeren data i den samme hukommelse, hvor den ondsindede perifere kører sin exploit kode, der gør IOMMU ubrugelig.
Hvad er der gjort ved det?
Forskere fra University of Cambridge, Rice University og SRI International opdagede Tordenskrald spørgsmål tilbage i 2016, og de har arbejdet med hardware og OS-versioner til tre år i komplet stilhed at have dem fast.
Men på trods af de næsten tre år advarsel, OS beslutningstagere har været langsomme til at reagere, med de fleste af Tordenskrald angreb variationer, der er beskrevet i en videnskabelig artikel offentliggjort i dag stadig arbejder. Her er den aktuelle tilstand af patches, ifølge forskerne:
Windows – “Microsoft har aktiveret understøttelse for IOMMU for Thunderbolt-enheder i Windows 10 version 1803, som sendes i 2018. Tidligere hardware opgraderet til 1803 kræver en firmware-opdatering fra leverandøren. Dette bringer dem i overensstemmelse med udgangspunktet for vores arbejde, men de mere komplekse sårbarheder, vi beskrive forblive relevante.”
macOS – “I macOS 10.12.4, og senere, er Apple rettet bestemt netværkskort svaghed, at vi, der anvendes til at opnå en root-shell. Men det generelle anvendelsesområde for vores arbejde, som stadig gælder i særdeleshed, at Thunderbolt-enheder, der har adgang til al netværkstrafik og nogle gange tastetryk og framebuffer data.”
Linux – “for Nylig Intel har bidraget patches til version 5.0 af Linux-kernen (kort til at blive frigivet), der sætter den IOMMU til Thunderbolt og forhindre beskyttelse-bypass sårbarhed, der bruger ATS funktion af PCI-Express.”
FreeBSD – “FreeBSD-Projektet viste, at ondsindede perifere enheder er i øjeblikket ikke inden for deres trussel model for security response. Men, FreeBSD i øjeblikket ikke understøtter Thunderbolt hotplugging.”
Som tabellen nedenfor viser, er de fleste Tordenskrald mangler stadig uændrede.
Billede: Markettos et al.
I mellemtiden, brugere rådes til at deaktivere Thunderbolt-porte via BIOS/UEFI firmware ” – indstillingerne og for at undgå at tilslutte eksterne enheder fra upålidelige kilder.
Tekniske oplysninger om Tordenskrald fejl er tilgængelig i et arbejdspapir med titlen “Tordenskrald: at Udforske Sårbarheder i Operativsystemet IOMMU Beskyttelse via DMA fra Upålidelige Enheder, der er” til rådighed for download i PDF-format fra her og her, med flere detaljer her.
Forskerholdet også udgivet “Tordenskrald platform” på GitHub, som er en samling af færdige proof-of-concept kode for at skabe ondsindet Tordenskrald enheder.
Ekstra detaljer er også tilgængelig på en dedikeret hjemmeside, og i dette blog-indlæg.
Som en afsluttende bemærkning, Tordenskrald sårbarheder kan også udnyttes af kompromitteret PCI Express (PCIe) enheder, såsom plug-in-kort eller chips loddet på bundkortet, men disse angreb kræver, at gå på kompromis med de perifere firmware, hvilket gør angrebet meget sværere at trække ud, end bare at tilslutte en oplader eller projektor via en Thunderbolt-interface.
Relaterede cybersecurity dækning af nyheder:
Hackere kan kapre bare-metal cloud-servere ved at ødelægge deres BMC firmwareA tredjedel af alle Chrome-udvidelser anmode om adgang til brugerens data, på enhver siteResearchers skjule malware i godartet apps ved hjælp af spekulative udførelse
Nye browser angreb lader hackere køre dårlig kode, selv når brugerne forlader en web pageResearchers bryde digitale signaturer til de fleste desktop-PDF viewersIt tog hackere kun tre dage til at begynde at udnytte de nyeste Drupal fejl
Større sårbarhed fundet i Android ES File Explorer app TechRepublicXiaomi el-scooter efter sigende sårbare over for kapring af hack CNET
Relaterede Emner:
Hardware
Sikkerhed-TV
Data Management
CXO
Datacentre