هشدارهای افتایی
یک محقق هلندی، 9 سناریو حمله را مطرح کرده که در آنها مهاجم با دسترسی فیزیکی به دستگاه قادر به سرقت داده‌ها از روی درایوها و حافظه‌های رمزگذاری شده است. حملات مذکور که از آنها با عنوان Thunderspy یاد شده بر روی تمامی کامپیوترهای مجهز به رابط‌های سخت‌افزاری تاندربولت ساخت 2011 و سال‌های بعد از آن قابل اجرا گزارش شده‌اند. 
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، این محقق هشدار داده که حتی رعایت سیاست‌های امنیتی نظیر قفل کردن کامپیوتر بدون مراقب، راه‌اندازی در حالت Secure Boot، استفاده از رمز عبور قوی برای BIOS و حساب‌های کاربری سیستمی و فعالسازی رمزگذاری کل دیسک هم نمی‌تواند این حملات را بی‌اثر کند.
پیش‌تر نیز اعلام شده بود که Microsoft به دلیل آسیب‌پذیری تاندربولت 3 نسبت به حملات Direct Memory Access – به اختصار DMA – از افزودن آن به دستگاه‌های Surface ساخت این شرکت خودداری کرده است. در حالی که تنها برخی کامپیوترهای با نسخه موسوم به OEM سیستم عامل Windows 10 از تاندربولت پشتیبانی می‌کنند اما تمامی کامپیوترهای Apple Mac که از سال 2011 عرضه شده‌اند شامل تاندربولت هستند.
آسیب‌پذیری این فناوری از آنجا ناشی می‌شود که کنترل‌کننده تاندربولت که یک دستگاه PCIe با ویژگی DMA است مهاجم را قادر به دستیابی به حافظه سیستم از طریق دستگاه جانبی متصل شده می‌کند.
در سال 2019 نیز مشخص شد که تاندربولت در دستگاه‌های Mac، Linux و Windows از ضعفی با عنوان Thunderclap تأثیر می‌پذیرند.
با این حال این محقق تأکید کرده که Thunderspy متفاوت ازThunderclap است  که بهره‌جویی از آن مستلزم پذیرفته شدن دستگاه مخرب به‌عنوان دستگاهی مجاز از دید کاربر می‌باشد. به‌عبارت دیگر Thunderspy سخت‌افزار و پودمان امنیتی تاندربولت را دور می‌زند.
در حالی که تمامی کامپیوترهای مجهز به Thunderbolt به Thunderspy آسیب‌پذیر هستند، Intel به‌عنوان توسعه‌دهنده فناوری تاندربولت می‌گوید که این حملات با حفاظت از Kernel Direct Memory Access در سطح سیستم عامل می‌توانند خنثی شوند. اما این فناوری محدود به کامپیوترهایی است که از سال 2019 فروخته شده‌اند.
Microsoft حفاظت Kernel DMA را از Windows 1803 در سیستم‌های عامل خود با هدف مقابله با حملات دسترسی فیزیکی از طریق دستگاه‌های PCI متصل به درگاه‌های تاندربولت 3 در کامپیوترهای سازگار با این فناوری که از Windows به‌صورت OEM استفاده می‌کنند شامل Dell، HP و Lenovo پیاده‌سازی کرد.
این امکان امنیتی، موجب اجرای راه‌اندازهای دستگاه در قسمت ایزوله و فقط خواندنی حافظه هسته می‌شود. با این حال، Microsoft اشاره کرده که حفاظت Kernel DMA در برابر حملات DMA از طریق 1394/FireWire، PCMCIA، CardBus، ExpressCard و مواردی از این دست کارایی ندارد.
Linux kernel 5.x و نسخ بعد از آن و همچنین MacOS Sierra 10.12.4 و نسخ پس از آن شامل حفاظت Kernel DMA هستند.
Intel اشاره کرده که امکان اجرای موفق حملات مورد اشاره این محقق بر روی دستگاه‌های با حفاظت DMA قابل انجام نیست.
برای تاندربولت 3، شرکت Intel یک امکان مدیریت پالیسی با عنوان Security Levels را توسعه داده که به راهبران امکان می‌دهد تا با اصالت‌سنجی مبتنی بر رمزگذاری، ارتباطات PCIe را محدود به دستگاه‌های جانبی مورد تایید کنند.
در عین حال این محقق می‌گوید عواملی همچون عدم اعتبارسنجی کامل ثابت‌افزار (Firmware)، اصالت‌سنجی ضعیت دستگاه و استفاده از فراداده دستگاه اصالت‌سنجی نشده،‌ سبب بی‌فایده شدن Security Levels می‌شود.
تنظیمات کنترل‌کننده اصالت‌سنجی نشده تاندربولت، نقص رابط‌های SPI و نادیده گرفته شدن احتمال اجرای Windows 10 بر روی یک دستگاه Mac و در نتیجه لحاظ نشدن کنترل Apple Boot Camp نیز جای بحث است.
نظر به ضعف‌های Thunderspy، شرکت Intel به کاربران توصیه کرده که تنها از دستگاه‌های جانبی مورد اعتماد استفاده کرده و از دسترسی فیزیکی غیرمجاز به کامپیوتر جلوگیری کنند.
این ضعف‌ها، مهاجم به اصطلاح "خدمتکار شیطانی" (evil maid) – برای مثال کارمندی در هتل که دسترسی فیزیکی به کامپیوتر میهمان دارد – را قادر به دور زدن Security Levels می‌کند.
در مدل "خدمتکار شیطانی" و نظر به بی‌ثباتی Security Levels می‌توان شناسه دستگاه دلخواه تاندربولت را ایجاد، از دستگاه‌های تاندربولت با کاربر مجاز کلون گرفته و در نهایت با دستیابی به ارتباط PCIe حملات DMA را اجرا کرد.
علاوه بر آن، این محقق رونویسی تنظیمات Security Level شامل غیرفعال کردن امنیت کل تاندربولت و برگرداندن ارتباط تاندربولت در زمانی که ارتباطات سیستم در انحصار USB و/ یا DisplayPort است ممکن می‌داند.
همچنین این محقق نشان داده که مهاجم می‌تواند به‌طور دائم امنیت تاندربولت را غیرفعال کرده و تمامی به‌روزرسانی‌های آتی ثابت‌افزار را مسدود کند.
این محقق معتقد است که Intel امکان برطرف کردن ضعف‌های Thunderspy را از طریق به‌روزرسانی‌های نرم‌افزاری ندارد و ترمیم آنها مستلزم بازطراحی سیلیکون برای حل این اشکال است. باگ‌ها همچنین می‌توانند استانداردهای آتی USB 4 و تاندربولت 4 را تحت تأثیر قرار دهند.
برای آسیب‌پذیری‌های Thunderspy شناسه‌ CVE تخصیص داده نشده و به نظر نمی‌رسد که Intel برنامه‌ای برای برطرف کردن این ضعف‌ها در سیستم‌های موجود در بازار داشته باشد. اما ظاهراً در پیاده‌سازی تاندربولت در سیستم‌های آتی سازوکارهای حفاظتی سخت‌افزاری بیشتری لحاظ خواهد شد.
این محقق تأکید کرده که تعداد بسیار کمی از سیستم‌هایی که از سال 2019 فروخته شده‌اند به‌طور کامل از امکان امنیتی پشتیبانی می‌کنند. از جمله آنها می‌توان به برخی دستگاه‌هایی اشاره کرد که در آنها از پردازنده Ice Lake ساخت Intel استفاده شده است.
Apple نیز از ارائه اصلاحیه برای Thunderspy خودداری کرده است.

منبع:
(با سپاس از همکاری شرکت مهندسی شبکه گستر در تهیه این گزارش)
 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.