2020-05-13
【5 分鐘攻破】有 Thunderbolt 就能偷資料
Intel 認衰︰Thunderbolt 存在難以修復漏洞
文: Roy Chan / 新聞中心
文章索引: IT要聞 INTEL 其它

Intel 產品又有「漏洞」!? 安全研究人員在日前披露了一個存在於 Thunderbolt 3 接口的「Thunderspy」安全漏洞,能繞過安全設計直接盜走電腦記憶體中的數據,即使的驅動器已加密且電腦已鎖定或設置為睡眠狀態,黑客仍可透過「Thunderspy」漏洞讀取及複製電腦上的所有資料,而波及的不僅影響 Thunderbolt 3 接口,基本上所有具備 Thunderbolt 接口的產品都將受「Thunderspy」漏洞威脅,並且難以通過軟件修復。

 

Thunderbolt 是 Intel 倡導的高頻寬互連技術,是當前速度最快的外設接口之一,廣泛被應用在筆記本電腦、台式機及其他系統中。而作為基於 PCIe 的設備,Thunderbolt 接口允許設備直接訪問電腦的記憶體 Direct Memory Access,在性能獲得提高的同時,Thunderbolt 接口亦因此成為攻擊的目標的。

 

Thunderbolt 3

 

來自荷蘭埃因霍溫理工大學的安全人員 Björn Ruytenberg 發表的安全研究報告指出,他們透過「Thunderspy」的攻擊手法成功攻破了 Intel Thunderbolt 接口,通過更改控制 Thunderbolt 接口的固件,可以悄悄地禁用設備安全設定、獲得電腦控制權及 PCIe 連接以執行 DMA 攻擊,最後竊取配有 Thunderbolt 連接介面的的 PC 或 Linux 電腦上的用戶數據。

 

「Thunderspy」是隱身的攻擊,意味著不僅找不到攻擊的任何痕跡,而且設備即使處於睡眠模式或鎖定的狀態,也可以從中讀取和複製所有數據,還可以從加密驅動器中竊取數據。

 

Thunderspy

 

 

按照 Björn Ruytenberg 的說法,在駭客能夠親手接觸到設備的前提下,只需要螺絲批、「簡易的便攜硬件」以及,在短短 5 分鐘時間就能輕鬆攻破。在影片中 Björn Ruytenberg 利用經過修改的一個 Thunderbolt 外設連接到 Intel NUC8 的 Thunderbolt 接口,並成功繞過了安全檢測機制,BIOS 設置中打開的 Thunderbolt 安全功能實際並不會起到任何保護作用。如果黑客利用該漏洞進行攻擊並盜取記憶體數據,將並不會留下明顯痕跡,用戶可能永遠不會發現自己的電腦被修改和破壞過。

 

Björn Ruytenberg 亦提到,即使系統被限制只通過 USB 或 DisplayPort 傳輸,黑客仍可以恢復 Thunderbolt 連接,最後還可以永久禁用 Thunderbolt 安全,並阻止後續的所有固件更新。

 

Thunderspy

Thunderspy

 

 

 

事實上,早在 2019 年 2 月已有安全研究人員發現一個與「Thunderspy」 類似的相關入侵事件 Thunderclap,配有 Thunderbolt 接口的電腦易受 DMA 攻擊。隨後,Intel 發佈了可以防止 Thunderspy 攻擊的安全機制 Kernel Direct Memory Access Protection,但該機制在較早的配置中未實現,也就是說 2019 年之前生產配備 Thunderbolt 接口的設備都容易受到攻擊。

 

即使是 2019 年後生產的設備如 MacOS 行動電腦 (包括 2011 年開始發佈的除 Retina MacBooks 外的所有 Apple Mac 均提供Thunderbolt 連接 ),雖然在啟動到 Bootcamp 時所有的Thunderbolt 安全都會被禁用,研究人員亦可利用「Thunderspy」漏洞成功竊取數據。

 

Thunderspy

ThunderspyThunderspy

Thunderspy

Thunderspy

 

 

Intel 已證實 Thunderbolt 接口存在「Thunderspy」漏洞,不過官方稱只有極少數用戶會受到這種方式的攻擊,目前仍未發佈任何「Thunderspy」漏洞的 CVE 訊息,同時不計劃發佈針對市場上已有系統的修復程式。Intel 在安全報告中回應:“對於所有系統,我們建議遵循標準的安全慣例,包括僅使用受信任的外置設備並禁止對電腦未經授權的物理訪問。”

 

研究人員,「Thunderspy」漏洞目前無法透過軟件修補來解決,而且還會影響到未來的 USB 4 及 Thunderbolt 4 等標準,最終Intel 及相關廠商可能將需要對晶片進行重新設計。

 

不過「Thunderspy」屬於 evil-maid 攻擊類別,代表需要對設備進行物理訪問才能進行攻擊,因此與常見可以遠程執行的網絡攻擊相比,利用程度相對較低。但需要注意的是,由於「Thunderspy」攻擊並不會留下任何痕跡,明顯威脅的是某些行業的特殊用戶,例如企業核心成員、國家政府安全人員等。

 

Thunderspy

分享到:
發表評論