在好萊塢大片里，無(wú)論戒備多么森嚴(yán)，黑客通常只需幾分鐘就能拷貝走電腦里所有數(shù)據(jù)，看起來(lái)相當(dāng)超現(xiàn)實(shí)。

如果電腦已經(jīng)設(shè)置了復(fù)雜的系統(tǒng)密碼、處于鎖定狀態(tài)、BIOS加密、硬盤(pán)全盤(pán)加密，在這么高的安全等級(jí)下，黑客也能輕松竊取文件嗎？

答案是可以！因?yàn)橐粋€(gè)叫做Thunderspy的漏洞。

荷蘭埃因霍溫科技大學(xué)的安全研究員最近發(fā)現(xiàn)計(jì)算機(jī)常用的 Thunderbolt 接口存在7個(gè)不可修補(bǔ)的新硬件漏洞。利用一種被稱為“Thunderspy”的技術(shù)，可以攻破英特爾Thunderbolt接口，繞過(guò)安全設(shè)計(jì)直接盜走電腦內(nèi)存中的數(shù)據(jù)。2011年以來(lái)生產(chǎn)的帶有雷電接口的電腦都將受到威脅，并且難以通過(guò)軟件修復(fù)。

通常高端計(jì)算機(jī)上都配備Thunderbolt接口上，我們一般俗稱“雷電”，蘋(píng)果官方稱為“雷靂”。

Thunderspy攻擊主要用于從鎖定或睡眠狀態(tài)的計(jì)算機(jī)竊取或讀取/寫(xiě)入數(shù)據(jù)，即使磁盤(pán)驅(qū)動(dòng)器受到全盤(pán)加密保護(hù)也無(wú)效。

Thunderspy 屬于 evil-maid 攻擊，這意味著它需要對(duì)設(shè)備進(jìn)行物理訪問(wèn)才能對(duì)其進(jìn)行攻擊，因此與遠(yuǎn)程攻擊相比，它的利用程度較低。但是另一方面，Thunderspy 是一種隱身攻擊，在成功執(zhí)行入侵之后，犯罪分子幾乎不會(huì)留下任何利用的痕跡。

什么是evil-maid（邪惡女仆）攻擊？邪惡女仆攻擊是指針對(duì)已經(jīng)關(guān)閉的無(wú)人看管的計(jì)算設(shè)備的攻擊。邪惡女仆攻擊的特點(diǎn)是，在設(shè)備持有者不知情的情況下，攻擊者可以多次親手接觸目標(biāo)設(shè)備。

換言之，只要你離開(kāi)桌子幾分鐘，黑客就可能在這么短的時(shí)間內(nèi)的入侵你的電腦，之后再恢復(fù)原樣，神不知鬼不覺(jué)。

埃因霍溫科技大學(xué)的研究員Ruytenberg表示，ThunderSpy攻擊可能需要用螺絲刀打開(kāi)目標(biāo)筆記本電腦的外殼，但它不會(huì)留下任何痕跡，幾分鐘內(nèi)就能被拔出。

研究員說(shuō)，“即使您在短暫離開(kāi)時(shí)鎖定或掛起計(jì)算機(jī)，并且系統(tǒng)管理員已設(shè)置安全啟動(dòng)、BIOS加密，操作系統(tǒng)設(shè)置了密碼并啟用了全盤(pán)加密，即使你遵循全部最佳安全實(shí)踐，Thunderspy仍然可以攻擊你?！?/p>

除運(yùn)行Windows或Linux操作系統(tǒng)的計(jì)算機(jī)外，自2011年以來(lái)銷(xiāo)售的，具有雷電功能的蘋(píng)果MacBooks（視網(wǎng)膜版除外）也容易受到Thunderspy攻擊，但僅限于部分。

發(fā)現(xiàn)漏洞的Ruytenberg在YouTube上發(fā)布了一段視頻，展示了如何進(jìn)行攻擊。

在視頻中，他卸下了ThinkPad筆記本的后蓋，用SOP8燒錄夾將SPI編程器和主板上的雷電控制器針腳連接起來(lái)。

然后他只用了2分鐘就重寫(xiě)了雷電控制器的固件，繞過(guò)密碼禁用了安全性設(shè)置。經(jīng)過(guò)一番操作后，就能通過(guò)插入雷電設(shè)備改寫(xiě)操作系統(tǒng)，即使是全盤(pán)加密的電腦也不在話下。

此外，他還演示了在系統(tǒng)僅通過(guò)USB或DisplayPort傳輸?shù)那闆r下恢復(fù)雷電連接。

整個(gè)過(guò)程大約只需要5分鐘。

Ruytenberg攻破電腦的設(shè)備成本僅400美元，體積還比較大，但是他說(shuō)，“某三個(gè)字母的部門(mén)”可以把這套設(shè)備小型化，讓攻擊更為隱蔽，成本會(huì)增加到1萬(wàn)美元。

該漏洞存在原因就在于雷電接口的直接內(nèi)存訪問(wèn)（DMA）長(zhǎng)久以來(lái)的安全問(wèn)題。

雷電接口的DMA可以讓外接設(shè)備直接讀寫(xiě)內(nèi)存，而無(wú)需CPU介入，這給外接顯卡等高速設(shè)備帶來(lái)了便利，但同時(shí)也帶來(lái)了安全隱患。

ThunderSpy漏洞解析

以下列出的七個(gè)Thunderspy漏洞會(huì)影響Thunderbolt版本1、2和3，并且可以被利用來(lái)創(chuàng)建任意的雷電設(shè)備身份，克隆用戶授權(quán)的雷電設(shè)備，最后獲得PCIe連接性以執(zhí)行DMA攻擊。

• l  固件驗(yàn)證方案不足

• l  弱設(shè)備身份驗(yàn)證方案

• l  使用未經(jīng)驗(yàn)證的設(shè)備元數(shù)據(jù)

• l  使用向后兼容性降級(jí)攻擊

• l  使用未經(jīng)驗(yàn)證的控制器配置

• l  SPI閃存接口缺陷

• l  BootCamp沒(méi)有雷電安全

雷電接口的直接內(nèi)存訪問(wèn)（DMA）攻擊并不是什么新鮮事。

基于DMA的攻擊使攻擊者只需將惡意的熱插拔設(shè)備（如外部網(wǎng)卡，鼠標(biāo)，鍵盤(pán)，打印機(jī)或存儲(chǔ)設(shè)備）插入雷電接口或最新的USB-C端口，即可在幾秒鐘內(nèi)破壞目標(biāo)計(jì)算機(jī)。

簡(jiǎn)言之，DMA攻擊是可能的，因?yàn)槔纂娊涌谠诜浅５偷陌踩?jí)別下工作，并且具有對(duì)計(jì)算機(jī)的高級(jí)別訪問(wèn)權(quán)限，從而使連接的外圍設(shè)備可以繞過(guò)操作系統(tǒng)安全策略并直接讀/寫(xiě)系統(tǒng)內(nèi)存，其中可能包含敏感數(shù)據(jù)，包括密碼，銀行賬戶，私人文件和瀏覽器活動(dòng)。

其實(shí)對(duì)于DMA攻擊，英特爾是有預(yù)防措施的，那就是2019年年初推出的內(nèi)核DMA保護(hù)（Kernel DMA Protections），進(jìn)一步加強(qiáng)設(shè)備驗(yàn)證，防止設(shè)備欺騙用戶授權(quán)，保護(hù)電腦不受驅(qū)動(dòng)器的攻擊。

但事實(shí)證明，結(jié)合前三個(gè)Thunderspy漏洞，攻擊者完全可以打破“安全級(jí)別”，并通過(guò)偽造雷電設(shè)備身份來(lái)加載未經(jīng)授權(quán)的惡意雷電設(shè)備，正如Ruytenberg視頻演示的那樣。

Ruytenberg補(bǔ)充道，“ 雷電控制器將設(shè)備元數(shù)據(jù)存儲(chǔ)在稱為Device ROM（DROM）的固件部分中。我們發(fā)現(xiàn)該DROM并未經(jīng)過(guò)密碼驗(yàn)證。這是第一個(gè)漏洞，此漏洞使人們能夠構(gòu)造偽造的雷電設(shè)備身份?！?/p>

“當(dāng)與第二個(gè)漏洞結(jié)合使用時(shí)，偽造的身份可能會(huì)部分或全部包含任意數(shù)據(jù)?！?/p>

Ruytenberg進(jìn)一步指出，這個(gè)硬件漏洞是無(wú)法通過(guò)升級(jí)軟件來(lái)修復(fù)的，“基本上需要重新設(shè)計(jì)芯片才行”。

如何預(yù)防Thunderspy攻擊

有趣的是，當(dāng)研究人員向英特爾報(bào)告Thunderspy漏洞時(shí)，英特爾回應(yīng)稱，“該漏洞并非最新發(fā)現(xiàn)，已經(jīng)在去年的操作系統(tǒng)更新中修復(fù)了。”

看來(lái)盡管英特爾已經(jīng)意識(shí)到其中的一些漏洞，但沒(méi)有計(jì)劃對(duì)其進(jìn)行修補(bǔ)或公開(kāi)。

理論上，Thunderspy漏洞已經(jīng)在2019年被英特爾通過(guò)“內(nèi)核 DMA 保護(hù)”功能修復(fù)，2019年之后出廠并運(yùn)行Windows 10 1803以后系統(tǒng)的電腦應(yīng)該能夠免疫攻擊。

但如前所述，Ruytenberg發(fā)現(xiàn)2019年以后生產(chǎn)的許多戴爾、惠普及聯(lián)想電腦并未受到新安全機(jī)制的保護(hù)，依然能夠被繞過(guò)。

為了方便讀者了解自己的系統(tǒng)是否受到 Thunderspy漏洞的威脅，Ruytenberg還發(fā)布了一個(gè)免費(fèi)的開(kāi)源工具Spycheck。（點(diǎn)擊文末閱讀原文獲取）

由于現(xiàn)階段缺少可用的軟件修復(fù)補(bǔ)丁，Ruytenberg給出的安全防護(hù)建議是：電腦只連接自己的雷電外設(shè)、不要把設(shè)備借給他人使用、離開(kāi)電腦時(shí)不要使用鎖定或睡眠，而應(yīng)使用休眠或關(guān)機(jī)。

Ruytenberg還提到一點(diǎn)，只要不使用BootCamp，運(yùn)行macOS系統(tǒng)的蘋(píng)果電腦目前是安全的。

本文來(lái)源：安數(shù)網(wǎng)絡(luò)，部分圖片來(lái)自網(wǎng)絡(luò)，如涉及侵權(quán)，請(qǐng)聯(lián)系刪除。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門(mén)】免費(fèi)試用

本文來(lái)源:

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明