無法修復,雷電接口漏洞威脅數百萬臺電腦
責編:gltian |2020-05-13 15:27:25最新研究表明,除了少數最新型號的電腦外,幾乎所有配備了英特爾雷電接口的設備都容易受到“邪惡女仆”攻擊,而且無法軟件修復。
euong
只要是2019年之前生產的配備雷電接口的Windows或Linux電腦,可以用Thunderspy技術繞過休眠或鎖定的電腦登錄屏幕(甚至包括硬盤加密),以獲得對計算機數據的完全訪問權限。
而且,盡管該物理攻擊通常需要使用螺絲刀打開目標筆記本電腦的外殼,但并不會留下任何入侵痕跡,可以在短短幾分鐘內完成。這就為安全行業稱為“邪惡女仆攻擊”(Evil Maid)開辟了一條新途徑,這使任何黑客都可以對無人照看的電腦下手。魯伊滕貝格說,這個漏洞沒有軟件修復程序可用,唯一能做的就是完全禁用Thunderbolt端口。
魯伊滕貝格說:
完成邪惡女仆攻擊所需要做的就是擰開電腦背板,暫時連接設備,重新編程固件,重新安裝背板,然后邪惡女仆就完全接管筆記本電腦了,今年夏天的Black Hat安全會議(編者按:線下會議已經宣布取消,轉為線上虛擬會議)上,該攻擊的演示可以在五分鐘之內完成。
“安全級別”歸零
長期以來,安全研究人員一直在懷疑英特爾的雷電接口是潛在的安全問題。因為該接口雖然提供了更快的數據傳輸到外部設備的速度,但犧牲了安全性——允許比其他端口更直接地訪問計算機的內存,這可能會導致安全漏洞。例如,去年一組研究人員發現了一系列稱為Thunderclap的 Thunderbolt組件中的缺陷,這些缺陷表明,將惡意設備插入計算機的雷電接口可以迅速繞過其所有安全措施。作為一種補救措施,這些研究人員建議用戶通過被稱為“安全級別”(Security Level)的雷電接口安全設置功能,禁止訪問不受信任的設備,或者甚至在操作系統設置中完全關閉雷電接口,將這個易受攻擊的端口變成純粹的USB和顯示端口。但是魯伊滕貝格的新技術甚至允許攻擊者甚至繞過上述安全設置,更改雷電接口內部芯片的固件,并更改其安全設置以允許訪問任何設備。這樣做不會留下任何對計算機操作系統可見的更改證據。埃因霍溫科技大學密碼學教授,魯伊滕貝格(Ruytenberg)的Thunderspy研究顧問說:
英特爾為雷電接口修筑了一座堡壘,而比約恩顯然攻克了這個堡壘。
繼去年的Thunderclap研究之后,英特爾還開發了一種稱為內核直接內存訪問保護的安全機制(Kernel Direct Memory Access Protection),該機制可防止Thunderspy攻擊。
但是,2019年之前制造的所有計算機都缺少內核DMA保護,并且DMA保護今天也沒有成為標準配置。實際上,2019年之前制造的許多雷電接口外設均與內核DMA保護不兼容。在測試中,埃因霍溫研究人員測試發現所有戴爾電腦,包括2019年或以后的型號,都沒有DMA保護,只有一部分2019年或更新生產日期的惠普和聯想電腦型號使用了DMA保護。此外,研究還發現所有運行MacOS的蘋果電腦不受影響。魯滕貝格還發布了一款工具(https://thunderspy.io/)幫助用戶檢測計算機是否容易受到Thunderspy攻擊,以及是否可以在計算機上啟用內核DMA保護。
“邪惡女仆”的回歸
如下面的視頻所示,攻擊者需要擰開筆記本電腦的底部面板才能訪問雷電端口控制器,然后將SPI編程器設備與SOP8夾子相連,該夾子可以將硬件固定在控制器的引腳上。然后,用SPI編程器重寫了芯片的固件(視頻演示中花費了兩分鐘多一點),最終成功關閉了雷電接口的安全設置。
魯伊滕貝格說:
我分析了固件,發現它包含控制器的安全狀態。因此,我開發了將安全狀態更改為’無’的方法,能夠禁用了所有安全設置。
然后,攻擊者可以將設備插入雷電端口,更改操作系統設置以禁用其屏幕鎖定,即使該設備啟用全盤加密也是如此。
演示視頻中的攻擊手段僅使用了價值約400美元的設備,包括一個SPI編程器設備和一個200美元的外設,可以將其插入雷電接口以執行繞過屏幕鎖定的直接內存攻擊,就像魯伊滕貝格使用的AKiTiO PCIe擴展盒一樣。但他認為,資金更充裕的黑客可以將整個安裝程序組裝到一個小型設備中,價格約為1萬美元。魯滕貝格說:情報機構完全有能力完成設備的小型化。
著名的硬件安全研究員,SR Labs的創始人卡爾斯滕·諾爾(Karsten Nohl)說,雷電接口仍然是邪惡女仆攻擊的可行方法,這并不讓人感到太過意外。他說,考慮到此類攻擊具備一定的技術復雜性,且需要物理訪問受害者的機器,因此大多數用戶無需為此感到恐慌。
盡管如此,諾爾表示看到英特爾的“安全級別”可以輕易被繞過,仍然讓他感到驚訝。諾爾說:
將防范硬件攻擊的身份驗證方案部署在不安全的硬件中,這絕對是解決硬件安全性問題的錯誤方法。這給人一種虛假的安全感。
魯伊滕貝格說,他的Thunderspy攻擊還有一種更“輕松”的方法,但需要訪問用戶插入計算機的雷電接口外圍設備。被目標計算機設置為“可信”的雷電接口設備通常包含一個64位代碼,魯伊滕貝格可以訪問并拷貝走該代碼。這樣,他甚至無需打開電腦外殼即可繞過目標設備的鎖定屏幕。魯伊滕貝格說:
這里沒有真正的密碼學。你把代碼復制過來。就這么簡單。
但是,只有用戶將雷電接口的安全設置配置為允許受信任設備的默認設置時,這種Thunderspy攻擊才有效。
魯伊滕貝格三個月前與Intel分享了他的上述發現。英特爾在官方博客中回復連線雜志的采訪說,內核DMA保護可以阻止攻擊。博客文章寫道:
雖然潛在的漏洞不是新的,但研究人員使用定制的外圍設備展示了新的物理攻擊矢量。(但研究人員認為該漏洞實際上是新漏洞,他們的攻擊僅僅使用了現成的組件。)對于所有系統,我們建議您遵循標準的安全慣例,包括僅使用可信任的外圍設備和防止未經授權對計算機進行物理訪問。
無法修補的缺陷
惠普在向《連線》雜志發表的一份聲明中表示,惠普將為大多數支持Sure Start Gen5及更高版本的惠普商用PC和移動工作站產品”提供針對雷電接口的直接內存攻擊的保護,其中包括自2019年初以來發布的系統。惠普聲稱:
惠普是唯一一家通過內部卡(PCI)和雷電設備提供針對DMA攻擊的保護的[計算機制造商]。默認情況下,我們啟用了通過雷電端口的DMA攻擊保護。
聯想公司則表示,
正在與我們的合作伙伴一起評估這項新研究,并將酌情與客戶溝通。
三星未回應置評請求。戴爾則在一份聲明中表示:
關注這些威脅的客戶應遵循最佳安全做法,并避免將未知或不受信任的設備連接到PC端口。
魯伊滕貝格指出:
這一缺陷涉及英特爾的硬件,無法僅通過軟件更新來解決。基本上,他們將不得不重新設計芯片。
考慮到攻擊者可以關閉安全設置,因此用戶無法通過在操作系統中更改雷電接口安全設置來阻止攻擊。
因此,對安全性要求較高的用戶可能會考慮在計算機的BIOS中完全禁用雷電接口。除了在BIOS中禁用雷電接口之外,用戶還需要啟用硬盤加密,并在無人看管時完全關閉計算機,以獲得全面保護。