Thunderspy: 7个硬件漏洞，影响9年来所有安装 Thunderbolt 的电脑

Thunderspy: 7个硬件漏洞，影响9年来所有安装 Thunderbolt 的电脑聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

一名网络安全研究员披露了7个新出现的且无法修复的硬件漏洞，影响过去九年来出售的所有安装 Thunderbolt（雷电接口）或Thunderbolt 兼容 USB-C 端口的桌面和笔记本电脑。

这些漏洞被统称为 “ThunderSpy”，可被用于9中证实的邪恶女仆攻击场景中，主要用于窃取数据或读写锁定或睡眠计算机的系统内存。简言之，如果你认为有人可以在几分钟内物理访问你的计算机，就可对你造成重大损害，面临邪恶女仆攻击的风险。

埃因霍温科技大学研究员 Björn Ruytenberg 指出，ThunderSpy 攻击“虽然可能要求用螺丝刀打开目标计算机的外壳，但这样做并不会留下任何入侵痕迹且几分钟内即可完成。”换句话说，该缺陷和网络活动或任何相关组件并不关联，因此无法遭远程利用。

Ruytenberg 表示，“即使你遵循最佳安全实践如锁定或者在短暂离开时让电脑睡眠，或者你的系统管理员以 Secure Boot 模式安装设备，部署了强大的 BIOS 和操作系统账户密码或启用全磁盘加密机制也无济于事。”

除了运行 Windows 或 Linux 操作系统的任何计算机受影响外，受 Thunderbolt 驱动的苹果 Macbooks（除 retina 版本，2011年起销售）也受影响但并非所有版本受影响。

ThunderSpy 漏洞

如下7个 ThunderSpy 漏洞影响 Thunderbolt 版本1、2和3，可被用于创建任意的 Thunderbolt 设备标识符、克隆用户授权的 Thunderbolt 设备，并获取执行 DMA 攻击的 PCIe 连接：

固件验证方案不当
设备认证方案薄弱
使用未经身份验证的设备元数据
使用向后兼容性进行降级攻击
使用未经身份验证的控制器配置
SPI 闪存接口缺陷
在 Boot Camp 中胃未部署 Thunderbolt 安全

针对Thunderbolt 端口的直接内存访问 (DMA) 攻击并不新鲜，此前曾在 ThunderClap 攻击中成功演示。基于 DMA 的攻击可导致攻击者仅通过将恶意热插拔设备（如外部网卡、鼠标、键盘、打印机或存储卡）插入 Thunderbolt 端口或最新 USB-C 端口的方式在几秒内执行。

简言之，DMA 攻击是很可能执行的，因为 Thunderbolt 端口在非常底层运作且具有对计算机的高权限访问权限，可导致联网外围设备绕过操作系统安全策略并直接读写可能包含敏感信息如密码、银行登录凭证、私人文件和浏览器活动的系统内存。

为对抗 DMA 攻击，Intel 推出了一些应对措施，其中一个是“安全级别”，阻止未授权的基于 Thunderbolt PCIe 设备在用户未授权时连接。

研究员指出，“为了进一步增强设备认证，据称系统提供了‘连接加密认证’，阻止设备欺骗用户授权设备。”然而，通过连接前三个缺陷，攻击者可打破‘安全级别’功能并通过伪造 Thunderbolt 设备标识符的方式加载未授权的恶意 Thunderbolt 设备。他补充表示，“Thunderbolt 控制器在 DROM 的固件区存储设备元数据。我们发现 DROM 并未加密验证。从第一个问题开始，这个漏洞能够构建伪造的 Thunderbolt 设备标识符。另外，当结合利用第二个漏洞时，伪造的身份可能部分或全部攻陷任意数据。我们展示了未经验证的安全级别配置覆盖，包括完全禁用 Thunderbolt 安全性的功能，如系统仅限于仅通过 USB 和/或 DisplayPort 传输，则可恢复 Thunderbolt 的连接能力。在报告结尾，我们展示了永久禁用 Thunderbolt 安全和拦截所有未来固件更新的能力。”