安全周刊20：通过Thunderbolt入侵计算机

在很长一段时间里，我们都没有关于硬件漏洞的挑衅性研究。荷兰研究员比约恩·鲁滕伯格（Bjorn Rutenberg）在Thunderbolt控制器中发现了七个洞（项目现场，科研成果，《连线》中的评论文章）。通过某种方式，所有漏洞都可以使您绕过关键的计算机和笔记本电脑保护系统，前提是您能够对其进行物理访问。通常，您需要拆卸设备才能使用Thunderbolt控制器固件访问闪存芯片。更改固件会删除所有安全级别，并可以从任意外部设备直接访问RAM。

该漏洞会受到2019年之前发布的所有装有Thunderbolt控制器的计算机的影响。去年，主要接口开发人员英特尔实施了内核DMA保护方法，这使得攻击变得不可能。引入此保护层需要更改硬件，因此仅在最近发布的设备中可用，而并非在所有设备中都可用。

尽管去年发布的联想和惠普笔记本电脑都使用此系统，但研究人员并未找到带有内核DMA保护功能的戴尔笔记本电脑。任何需要物理访问硬件的漏洞所造成的潜在损害很小，但是故事发展得（不是很漂亮）。毕竟不能说直到2019年雷电保护系统才出现在设备中。龙腾堡（Ryutenberg）的工作表明它们并不总是有效。


该研究的作者在上面的视频中显示了攻击算法：在短短五分钟内，Ryutenberg成功绕过了Windows锁定屏幕。实际上，您可以更快地做到这一点：攻击者无需自己拍照并给出解释。

在联想ThinkPad P1笔记本电脑上，研究人员重新刷新了Thunderbolt控制器，从而降低了安全级别。它们只有四个：在SL3模式下，原则上不可能直接访问外部设备到RAM。大多数笔记本电脑默认使用SL1模式，并在授权后打开DMA。重新刷新控制器会将设置重置为SL0-在此模式下，所有设备均可未经授权访问内存。

控制器是否验证其自身固件的真实性？是的，它会检查-但仅在使用常规方法（例如，通过将更新发送给制造商）更新软件时进行。未检测到直接固件芯片SPI闪存编程器。最有趣的是，使用这种固件，可以阻止进一步的更新，从而使计算机永久易受攻击。

由于安全级别的强制重置以及在Thunderbolt保护方面的许多其他遗漏，例如，以Thunderbolt 3控制器与以前版本的接口的强制性兼容的形式，没有更严格的保护方法，因此可能会造成攻击。在Apple笔记本电脑上，如果您使用Bootcamp功能启动Windows或Linux，则将强制使用SL0模式-甚至不需要刷新任何内容。在该项目的网站上，作者发布了攻击工具的代码以及用于使用Thunderbolt检查计算机的实用程序。

这是一个危险的漏洞吗？通常，情况不是很清楚：在Windows和用户软件中，经常会发现特权升级带来的本地问题，有时会在不使用烙铁的情况下提供类似的结果。但是这次袭击以詹姆斯·邦德（James Bond）的电影风格证明是美丽的。在概念验证中，研究人员使用了相当繁琐的设计来连接到计算机，但是如果您有足够的能力和愿望，还可以制造一个微型设备，一种带有间谍行为的程序员。

这项工作受到了预期的批评：如果您重新熨烫熨斗，则可以用它进行任何操作。是的，但此类研究通常仅限于对漏洞的理论描述，此处显示了实际攻击。还可以找到针对这种黑客入侵的对策，直到端口和微电路被环氧树脂淹没为止。但是在理想情况下，设备如此简单的闪烁应该不会有漏洞。有人可以争论其他安全方法的合理性，但是它们存在并且已被应用。只是在这种情况下不行。

还有什么事

微软的GitHub帐户可能被黑了。 500 GB的数据被盗，但后果不明。饼干发布的千兆字节样本质量不佳，甚至无法真正确认被黑客入侵的是微软。GoDaddy注册服务商发生的另一次重大泄漏-28,000名客户的数据被盗。

黑帽会议和DEF CON会议传统上是在8月在美国举行，今年将取消，但将在线举行。

Zoom 收购了加密初创公司 Keybase。该公司历史上的第一笔收购是实施Web会议的端到端加密。

Android平台的下一组补丁程序关闭Media Framework中的几个严重漏洞。其中之一可用于远程执行任意代码。

Pen Test Partners公司研究了 TCAS系统的算法，该算法可防止飞机进入危险区域。他们展示了一个攻击示例，其中涉及引入无线电以及创建不存在的对象。从理论上讲，有可能迫使飞行员进行演习，这会带来真正的安全风险，从而避免与“虚拟”飞机相撞。