Una nuova serie di vulnerabilità di sicurezza che interessano tutti i principali sistemi operativi (Windows, Mac OS, Linux, e FreeBSD) è stato scoperto. le vulnerabilità, noto come Thunderclap, potrebbe consentire agli aggressori di bypassare i meccanismi di protezione destinata ad evitare DMA (Direct Memory Access) attacchi.
La scoperta è stata fatta pubblico durante la Rete e Distributed Systems Security Symposium di San Diego. La ricerca è descritta come una “lavoro congiunto con Colin Rothwell, Brett Gutstein, Allison Pearce, Peter Neumann, Simon Moore e Robert Watson". Secondo il rapporto:
Direct Memory Access (DMA) gli attacchi sono noti da molti anni: I DMA-enabled / periferiche O hanno accesso completo allo stato di un computer e possono compromettere pienamente compreso la lettura e la scrittura di tutta la memoria di sistema. Con la popolarità di Thunderbolt 3 over USB di tipo C e dispositivi interni intelligenti, opportunità per questi attacchi da eseguire con disinvoltura con soli secondi di accesso fisico a un computer hanno notevolmente ampliato.
In altre parole, tali attacchi consentono hacker di compromettere un sistema semplicemente collegando un dispositivo hot plug dannoso che potrebbe essere una scheda di rete esterna, topo, tastiera, stampante, Conservazione, e la scheda grafica, in Thunderbolt 3 porto o l'ultima porta USB-C.
Panoramica tecnica delle vulnerabilità Thunderclap
Thunderclap influenza il modo periferiche Thunderbolt basata possano collegarsi e interagire con i sistemi operativi suddetti. Questo alla fine permetterebbe un dispositivo dannoso per rubare i dati direttamente dalla memoria del sistema operativo, come ad esempio informazioni altamente sensibili.
E 'interessante notare che il team di ricercatori (presso l'Università di Cambridge, Rice University, e SRI International) divulgato queste falle di sicurezza in 2016. Ci sono voluti tre anni di lavoro in silenzio con le versioni hardware e del sistema operativo per cercare di risolvere i problemi. Sfortunatamente, produttori di sistemi operativi non hanno reagito in maniera sufficientemente adeguata alla scoperta, e la maggior parte degli attacchi basati su Thunderclap sono ancora validi e sfruttabili.
Si scopre che i fornitori di hardware e OS sono ampiamente consapevoli dei rischi creati dalle queste vulnerabilità, e impiegare un Memory Management Unit Input-Output (IOMMU) per limitare l'accesso da parte di periferiche di memoria di sistema DMA-enabled. Mac OS, Linux, e FreeBSD, per esempio, può essere configurato per aprirsi solo porzioni limitate di memoria kernel a DMA, al fine di evitare che il dispositivo dannoso, La relazione sottolinea.
Quanto protette sono i sistemi operativi interessati al momento?
Microsoft ha abilitato il supporto per l'IOMMU per dispositivi Thunderbolt in Windows 10 versione 1803, che spediti in 2018, il rapporto dice. In precedenza l'hardware aggiornato a 1803 ha bisogno di un aggiornamento del firmware fornitore. Nonostante questi sforzi, le più complesse vulnerabilità i ricercatori descrivono restano pertinenti.
in MacOS 10.12.4 e più tardi, Apple ha affrontato la vulnerabilità specifica scheda di rete i ricercatori hanno utilizzato per ottenere una shell di root. Ciò nonostante, dispositivi Thunderbolt hanno ancora accesso a tutto il traffico di rete e, talvolta, combinazioni di tasti e dei dati framebuffer.
Che dire di Linux? Intel ha rilasciato le patch per la versione 5.0 del kernel di Linux (a breve per essere rilasciato) che consentono l'IOMMU per Thunderbolt e prevenire la vulnerabilità di protezione bypass che utilizza la funzionalità di ATS PCI Express.
Per quanto riguarda FreeBSD, il progetto "hanno indicato che i dispositivi periferici dannosi non sono attualmente all'interno del loro modello di minaccia per la risposta di sicurezza. Tuttavia, FreeBSD attualmente non supporta hotplugging Thunderbolt".
I ricercatori hanno anche rilasciato proof-of-concept code Thunderclap su GitHub.
Ulteriori misure necessarie
Sfortunatamente, memoria del dispositivo di isolamento, attuato da Macos in 2012 e ora di Windows 10 1803 è ben lungi dall'essere sufficiente per attenuare i problemi Thunderclap. dispositivi dannose possono modellare target interfacce vulnerabili, la scelta del software più debole per attaccare, tra le altre cose.
“Non è sufficiente per consentire semplicemente protezioni di base IOMMU nel quadro bus PCIe e prendere in considerazione il lavoro finito. I nostri risultati dimostrano che v'è alcuna difesa in profondità: gli strati sottostanti, come stack di comunicazione e allocatori memoria, non sono induriti contro dispositivi dannosi,” i ricercatori hanno messo in guardia.
Per fortuna, cooperazione con i produttori di sistemi operativi ha portato ad un miglioramento della IOMMU (Memory Management Unit Input-Output) la sicurezza e la mitigazione della vulnerabilità attraverso aggiornamenti software attualmente dispiegati. Per una completa informativa tecnica, fare riferimento a i ricercatori’ rapporto dettagliato.