2019-03-05
又發現安全漏洞!!可經 Thunderbolt 洩露資料
Windows、Mac、Linux、FreeBSD 無一倖免
文: Cherry Kwok / 新聞中心
文章索引: IT要聞 INTEL Microsoft Apple

在 NDSS 2019 安全會議上最新公佈了一個存在於 Thunderbolt 介面的安全漏洞「Thunderclap」,駭客可利用「Thunderclap」透過支援 Thunderbolt 的週邊設備,直接執行系統記憶體進行簡單的 DMA 攻擊,從而盜取記憶體中的密碼、銀行憑證或加密金鑰等,受影響更包括了 Windows、Mac、Linux 及 FreeBSD 等的系統。

 

Thunderbolt 是 Apple 及 Intel 設計的傳輸介面,允許將鍵盤、充電器、視頻投影儀、網絡卡等週邊設備連接到系統,Thunderbolt 接口在現時非常普及,能夠將不同的技術組合到一組線材中,例如傳輸DC電源(用於充電)、串行數據(通過 PCI Express)及視頻輸出(通過DisplayPort)等。在最初 Thunderbolt 技術只用於 Apple 設備,但後來可供所有硬件供應商使用,現在變得無處不在,特別是最新版本的 Thunderbolt 3 介面。

 

Thunderclap

 

根據安全研究人員 Theo Markettos 的說法,「Thunderclap」安全漏洞允許駭客經由 Thunderbolt 介面連接時,在操作系統的後台運行惡意代碼,而不受操作的任何限制,能夠以最高權限執行任意程式,並可以完全控制目標電腦,駭客可以盜取密碼、銀行登錄信息、加密密鑰、瀏覽器會話和私人文件,也可以在系統中注入惡意軟件。「Thunderclap」甚至能夠繞過硬件和製造商為操作系統安全而建立的 IOMMU (input–output memory management unit ) 輸入輸出記憶體管理單元。

 

研究人員表示,通過 Thunderbolt 3 介面的電源、視頻和週邊設備 DMA 的結合,為惡意充電站提供了幫助,設備能正常運行但顯示被黑客控制。IOMMU 可防禦上述攻擊,它允許設備只存取工作所需的記憶體。然而,使 IOMMU 能夠抵禦 DMA 攻擊需要付出很高的性能代價,大多數操作系統為了提高性能而犧牲安全性,默認情況下禁用 IOMMU。

 

Thunderclap

 

macOS 是唯一一個啟用了 IOMMU 的操作系統,Windows 7 至 Windows 10 Home 及 Pro 版本都不支援 IOMMU,Windows 10 Enterprise 支援 IOMMU 但僅提供 “非常有限的方式”,不能提供足夠的保護,而 Linux 和 FreeBSD 在默認情況下都不支援 IOMMU。

 

研究人員還發現,即使啟用了 IOMMU 仍有不少漏洞可用,通過與真實版本偽造類似的網卡,可以在 FreeBSD 和 Linux 上以高權限級別運行代碼,讀取數據流量,並能以系統管理員身份啟動惡意程式。因此,惡意的 PCI Express 裝置無論是網絡卡或焊在主機板上的晶片,都有機會存在「Thunderclap」漏洞。

 

Thunderclap

 

實際上,所有具有支援 Thunderbolt 連接的系統都會受到影響,包括設有 USB Type-C 介面及較舊 Mini DisplayPort 連接的系統,就 Apple 而言,「Thunderclap」安全漏洞均存在於 “自 2011 年以來生產的所有 Apple 筆記本電腦及台式機,除了  12 吋的 Macbook 產品,另外只要支援 Thunderbolt 的電腦,例如 2016 年起所生產的部份 Windows 及 Linux 桌機及筆電都受到波及。” 這意味著包括了 Thunderbolt 1、Thunderbolt 2 ( 使用Mini DisplayPort [MDP]連接器的接口版本) 及Thunderbolt 3 ( 通過 USB-C 介面的) 的系統。

 

消息指,Apple、Microsoft 及 Intel 已“發布安全更新以部分解決安全漏洞”,但這些業者的修補並未解決所有問題,因此建議用家可以通過不使用可疑線材及週邊設備來避開「Thunderclap」漏洞,暫時將影響減至最低。

 

Thunderclap

分享到:
發表評論