أسبوع الأمن 20: اختراق جهاز كمبيوتر من خلال Thunderbolt

لفترة طويلة في خلاصتنا لم تكن هناك دراسات استفزازية حول نقاط الضعف في الأجهزة. وجد الباحث الهولندي بيورن روتينبرج سبع ثقوب في وحدات تحكم Thunderbolt ( موقع المشروع ، العمل العلمي ، مقالة المراجعة في Wired). بطريقة أو بأخرى ، تسمح لك جميع نقاط الضعف بتجاوز أنظمة حماية الكمبيوتر والكمبيوتر المحمول الرئيسية إذا تمكنت من الوصول الفعلي إليها. بشكل عام ، ستحتاج إلى تفكيك الجهاز للوصول إلى شريحة الذاكرة المحمولة باستخدام البرنامج الثابت لوحدة تحكم Thunderbolt. يؤدي تغيير البرنامج الثابت إلى إزالة جميع مستويات الأمان ويجعل من الممكن الوصول مباشرة إلى ذاكرة الوصول العشوائي من جهاز خارجي عشوائي.

تتأثر نقاط الضعف بجميع أجهزة الكمبيوتر المزودة بوحدة تحكم Thunderbolt التي تم إصدارها قبل عام 2019. في العام الماضي ، طبقت Intel ، المطور الرئيسي للواجهة ، طريقة Kernel DMA Protection ، مما يجعل الهجوم مستحيلاً. يتطلب إدخال هذه الطبقة من الحماية تغييرات في الأجهزة وبالتالي لا تتوفر إلا في الأجهزة التي تم إصدارها مؤخرًا ، وليس جميعها.

لم يعثر الباحث على أجهزة كمبيوتر محمولة جديدة من Dell مع Kernel DMA Protection ، على الرغم من أن أجهزة الكمبيوتر المحمولة Lenovo و HP التي تم إصدارها أيضًا العام الماضي تستخدم هذا النظام. الضرر المحتمل من أي ثغرات تتطلب الوصول الفعلي إلى الأجهزة صغير ، لكن القصة تطورت (ليست شديدة) بشكل جميل. بعد كل شيء ، لا يمكن القول أنه حتى عام 2019 لم تكن أنظمة حماية Thunderbolt في الأجهزة. أظهر عمل Ryutenberg أنهم لا يعملون دائمًا.


يوضح مؤلف الدراسة خوارزمية الهجوم في الفيديو أعلاه: في غضون خمس دقائق فقط ، تمكن Ryutenberg من تجاوز شاشة قفل Windows. في الواقع ، يمكنك القيام بذلك بشكل أسرع: لا يحتاج المهاجم إلى التقاط صور لنفسه وتقديم تفسيرات.

على كمبيوتر محمول Lenovo ThinkPad P1 ، يقوم الباحث بإعادة تحميل جهاز تحكم Thunderbolt ، مما يخفض مستوى الأمان. هناك أربعة منها فقط: في وضع SL3 ، من حيث المبدأ ، من المستحيل الوصول المباشر للأجهزة الخارجية إلى ذاكرة الوصول العشوائي. يتم استخدام وضع SL1 بشكل افتراضي على معظم أجهزة الكمبيوتر المحمولة ويقوم بتشغيل DMA بعد التفويض. تؤدي إعادة وميض وحدة التحكم إلى إعادة تعيين الإعدادات إلى SL0 - في هذا الوضع ، يمكن لجميع الأجهزة الوصول إلى الذاكرة بدون إذن.

هل تتحقق وحدة التحكم من صحة البرامج الثابتة الخاصة بها؟ نعم ، إنه يتحقق - ولكن فقط عند تحديث البرنامج باستخدام طرق عادية ، على سبيل المثال ، عن طريق إرسال تحديثات إلى الشركة المصنعة. لم يتم الكشف عن رقاقة مبرمج فلاش SPI المباشر. الشيء الأكثر إثارة للاهتمام هو أنه مع مثل هذه البرامج الثابتة ، من الممكن حظر المزيد من التحديثات ، مما يجعل الكمبيوتر عرضة للخطر بشكل دائم.

الهجوم ممكن بسبب إعادة التعيين القسري لمستوى الأمان ، بالإضافة إلى عدد من الإغفالات الأخرى في حماية Thunderbolt - على سبيل المثال ، في شكل التوافق الإلزامي لوحدات تحكم Thunderbolt 3 مع الإصدار السابق من الواجهة ، حيث لا توجد طرق حماية أكثر خطورة. وعلى أجهزة كمبيوتر Apple المحمولة ، يتم فرض وضع SL0 ، إذا كنت تستخدم وظيفة Bootcamp لتمهيد Windows أو Linux - فلا تحتاج حتى إلى وميض أي شيء. على موقع المشروع ، نشر المؤلف رمز أدوات الهجوم ، بالإضافة إلى أداة لفحص الكمبيوتر باستخدام Thunderbolt.

هل هذه نقطة ضعف خطيرة؟ بشكل عام ، ليس جدًا: في Windows وبرامج المستهلك ، يجدون بانتظام مشاكل محلية في تصعيد الامتيازات ، وفي بعض الأحيان يقدمون نتيجة مماثلة دون استخدام مكواة لحام . لكن الهجوم تحول إلى جمال ، على غرار أفلام جيمس بوند. في إثبات صحة المفهوم ، يستخدم الباحث تصميمًا مرهقًا إلى حد ما للاتصال بجهاز كمبيوتر ، ولكن إذا كان لديك الوسائل والرغبة ، يمكنك أيضًا صنع جهاز مصغر ، وهو نوع من المبرمج مع ملاحظات التجسس.

تعرض العمل للنقد المتوقع: إذا قمت بإعادة تحميل الحديد ، يمكنك فعل أي شيء به على الإطلاق. نعم ، ولكن هذه الدراسات غالبًا ما تقتصر على الوصف النظري لنقاط الضعف ، ويظهر هنا هجوم عملي. كما سيتم العثور على إجراءات مضادة ضد هذا الاختراق ، حتى غمر الموانئ والدوائر الدقيقة براتنج الإيبوكسي. ولكن في عالم مثالي ، يجب ألا تكون هناك ثغرات لمثل هذا الوميض البسيط للجهاز. يمكن للمرء أن يجادل حول تبرير أساليب أمنية إضافية ، لكنها موجودة ويتم تطبيقها. ليس فقط في هذه الحالة.

ماذا حدث

ربما تم اختراق حساب Microsoft GitHub . تمت سرقة 500 غيغابايت من البيانات ، ولكن لم يتضح بعد ما ستكون العواقب. لا تتألق عينة الجيجابايت التي نشرتها البسكويت بجودة ولا حتى تؤكد حقًا أنه تم اختراق Microsoft. حدث تسرب كبير آخر في مسجل GoDaddy - سرقت البيانات على 28 ألف عميل. سيتم إلغاء

مؤتمري Black Hat و DEF CON ، اللتين تعقدان تقليديًا في الولايات المتحدة في أغسطس ، هذا العام ولكن سيتم عقدهما عبر الإنترنت. التكبير اكتسب Keybase، وبدء تشغيل التشفير. تم إجراء أول عملية استحواذ في تاريخ الشركة لتنفيذ التشفير الشامل لمؤتمرات الويب. يتم إغلاق مجموعة التصحيحات التالية لنظام Android الأساسي



العديد من نقاط الضعف الخطيرة في إطار العمل الإعلامي. يمكن استخدام أحدهم لتنفيذ التعليمات البرمجية التعسفية عن بُعد.

قامت شركة Pen Test Partners بالتحقيق في خوارزمية نظام TCAS ، والتي تمنع النهج الخطير للطائرات. وأظهروا مثالاً على هجوم ينطوي على إدخال الاتصالات اللاسلكية ، بالإضافة إلى إنشاء كائن غير موجود. من الناحية النظرية ، من الممكن إجبار الطيارين على إجراء مناورات تشكل خطرًا أمنيًا حقيقيًا في محاولة لتجنب الاصطدام بطائرة "افتراضية".