Οι ευπάθειες Thunderclap επιτρέπουν τη δημιουργία πολύ επικίνδυνων κακόβουλων περιφερειακών συσκευών που μπορούν να κλέψουν δεδομένα από τη μνήμη του λειτουργικού συστήματος.
Τα συστήματα των Windows, Mac, Linux και FreeBSD επηρεάζονται από μια νέα ευπάθεια, που αποκαλύφθηκε αυτήν την εβδομάδα στο NDSS 2019.
Η ευπάθεια – που ονομάζεται Thunderclap – επηρεάζει τον τρόπο με τον οποίο περιφερειακές συσκευές, που βασίζονται στο Thunderbolt, μπορούν να συνδεθούν και να αλληλεπιδράσουν με αυτά τα λειτουργικά συστήματα επιτρέποντας σε μια κακόβουλη συσκευή να κλέβει δεδομένα απευθείας από τη μνήμη του λειτουργικού συστήματος, συμπεριλαμβανομένων εξαιρετικά ευαίσθητων πληροφοριών.
Η ερευνητική ομάδα που μελετά αυτή την ευπάθεια λέει ότι “όλα τα laptops και desktop της Apple που κυκλοφόρησαν από το 2011 και μετά είναι ευάλωτα, με εξαίρεση το MacBook 12 ιντσών”.
“Επηρεάζονται επίσης πολλά laptops και desktop, που έχουν σχεδιαστεί για την εκτέλεση Windows ή Linux και κυκλοφόρησαν από το 2016” (εφόσον υποστηρίζουν το Thunderbolt interfacing).
Τι είναι το Thunderbolt;
Thunderbolt είναι το όνομα ενός hardware interface, που σχεδιάστηκε από την Apple και την Intel για να επιτρέψει τη σύνδεση εξωτερικών περιφερειακών συσκευών (πληκτρολογίων, φορτιστών, καρτών δικτύου κλπ.) σε έναν υπολογιστή.
Αυτά τα interfaces έγιναν άκρως δημοφιλή επειδή συνδυάζουν διαφορετικές τεχνολογίες, όπως τη δυνατότητα μετάδοσης ισχύος DC (για σκοπούς φόρτισης), σειριακά δεδομένα (μέσω PCI Express) και video output (μέσω του DisplayPort).
Η τεχνολογία ήταν αρχικά διαθέσιμη για τις συσκευές Apple, αλλά στη συνέχεια διατέθηκε για όλους τους προμηθευτές hardware, και σήμερα υπάρχει παντού, χάρη στην τελευταία έκδοση Thunderbolt 3.
Αλλά σύμφωνα με την ερευνητική ομάδα, όλες οι εκδόσεις Thunderbolt επηρεάζονται από την ευπάθεια Thunderclap. Αυτό σημαίνει ότι επηρεάζονται το Thunderbolt 1 και 2 (οι εκδόσεις που χρησιμοποιούν Mini DisplayPort [MDP] connector) και το Thunderbolt 3 (η έκδοση που λειτουργεί μέσω θύρας USB-C).
Τι είναι το Thunderclap;
Το Thunderclap είναι μια συλλογή σφαλμάτων, η οποία επηρεάζει τον τρόπο με τον οποίο το Thunderbolt hardware interface έχει εφαρμοστεί σε λειτουργικά συστήματα.
Στον πυρήνα αυτής της ευπάθειας, οι ερευνητές λένε ότι υπάρχει ένα ζήτημα στο σχεδιασμό λειτουργικών συστημάτων, όπου το λειτουργικό σύστημα «εμπιστεύεται» αυτόματα κάθε νέα συνδεδεμένη περιφερειακή συσκευή, παρέχοντάς της πρόσβαση σε όλη τη μνήμη του – μια κατάσταση που ονομάζεται Direct Memory Access (DMA).
Οι ευπάθειες Thunderclap επιτρέπουν στους επιτιθέμενους να δημιουργούν κακόβουλες περιφερειακές συσκευές, οι οποίες όταν συνδέονται μέσω θύρας Thunderbolt μπορούν να εκτελούν τις κανονικές τους λειτουργίες αλλά και να εκτελούν κακόβουλο κώδικα στο λειτουργικό σύστημα χωρίς κανένα περιορισμό.
Αυτό κάνει την επίθεση Thunderclap εξαιρετικά επικίνδυνη, καθώς μπορεί εύκολα να κρυφτεί μέσα σε οποιαδήποτε περιφερειακή συσκευή.
Οι ευπάθειες Thunderclap είναι ακόμη ικανές να παρακάμψουν ένα χαρακτηριστικό ασφαλείας του λειτουργικού συστήματος, γνωστό ως Input-Output Memory Management Units (IOMMUs) που οι κατασκευαστές hardware και λειτουργικού συστήματος δημιούργησαν στις αρχές της δεκαετίας του 2000 για την αντιμετώπιση κακόβουλων περιφερειακών συσκευών που καταχρώνται την πρόσβασή τους σε ολόκληρη τη μνήμη του λειτουργικού συστήματος (γνωστή ως επίθεση DMA).
Τι γίνεται γι ‘αυτή την κατάσταση;
Ερευνητές από το University of Cambridge, το Rice University και το SRI International ανακάλυψαν τα σφάλματα Thunderclap το 2016 και εργάζονται με διάφορες εκδόσεις hardware και λειτουργικών συστημάτων, εδώ και τρία χρόνια, για να τα διορθώσουν.
Εντούτοις, παρά την προειδοποίηση, οι κατασκευαστές λειτουργικών συστημάτων δεν έχουν αντιδράσει ιδιαιτέρως, με αποτέλεσμα οι περισσότερες από τις επιθέσεις Thunderclap, που περιγράφονται σε ερευνητικό έγγραφο που δημοσιεύθηκε σήμερα, να εξακολουθούν να λειτουργούν. Ακολουθεί η τρέχουσα κατάσταση των επιδιορθώσεων, σύμφωνα με τους ερευνητές:
Windows – “Η Microsoft έχει ενεργοποιήσει την υποστήριξη του IOMMU για συσκευές Thunderbolt στα Windows 10 έκδοση 1803, τα οποία κυκλοφόρησαν το 2018. Το προηγούμενο hardware, που αναβαθμίστηκε στο 1803, απαιτεί ενημέρωση firmware από τον προμηθευτή. Ωστόσο οι πιο πολύπλοκες ευπάθειες παραμένουν”.
MacOS – “Στην έκδοση macOS 10.12.4 και στις επόμενες, η Apple αντιμετώπισε την ευπάθεια. Ωστόσο, υπάρχουν ακόμα θέματα που δεν έχουν επιλυθεί”.
Linux – “Πρόσφατα, η Intel έκανε κάποιες διορθώσεις στην έκδοση 5.0 του Linux (που πρόκειται να κυκλοφορήσει σύντομα) οι οποίες ενεργοποιούν το IOMMU για Thunderbolt”.
FreeBSD- “Το FreeBSD Project έδειξε ότι οι κακόβουλες περιφερειακές συσκευές δεν αποτελούν απειλή γι’ αυτό. Ωστόσο, το FreeBSD δεν υποστηρίζει επί του παρόντος το hotplugging του Thunderbolt”.
Πάντως τα περισσότερα σφάλματα Thunderclap εξακολουθούν να υπάρχουν.
Εν τω μεταξύ, προτείνεται στους χρήστες να απενεργοποιήσουν τις θύρες Thunderbolt μέσω των ρυθμίσεων firmware BIOS / UEFI και να αποφεύγουν να συνδέονται με περιφερειακές συσκευές από μη αξιόπιστες πηγές.
Τεχνικές λεπτομέρειες σχετικά με τις ευπάθειες Thunderclap είναι διαθέσιμες σε μια ερευνητική εργασία με τίτλο “Thunderclap: Exploring Vulnerabilities in Operating System IOMMU Protection via DMA from Untrustworthy Peripherals”, διαθέσιμη για λήψη σε μορφή PDF από εδώ και εδώ.
