Um novo conjunto de vulnerabilidades de segurança afetando todos os principais sistemas operacionais (janelas, Mac OS, Linux, e FreeBSD) foi descoberto. as vulnerabilidades, conhecido como Thunderclap, pode permitir que os invasores contornem os mecanismos de proteção destinados a proteger contra DMA (Acesso direto à memória) ataques.
A descoberta foi tornada pública durante o Simpósio de Segurança de Sistemas Distribuídos e Redes em San Diego. A pesquisa é descrita como “trabalho conjunto com Colin Rothwell, Brett Gutstein, Allison Pearce, Peter Neumann, Simon Moore e Robert Watson”. De acordo com o relatório:
Acesso direto à memória (DMA) ataques são conhecidos há muitos anos: Os periféricos de E / S habilitados para DMA têm acesso completo ao estado de um computador e podem comprometê-lo totalmente, incluindo leitura e gravação de toda a memória do sistema. Com a popularidade do Thunderbolt 3 por USB tipo C e dispositivos internos inteligentes, oportunidades para que esses ataques sejam realizados casualmente com apenas alguns segundos de acesso físico a um computador aumentaram muito.
Em outras palavras, tais ataques permitem que hackers comprometam um sistema simplesmente conectando um dispositivo hot plug malicioso, que pode ser uma placa de rede externa, rato, teclado, impressora, armazenamento, e placa gráfica, em Thunderbolt 3 porta ou a porta USB-C mais recente.
Visão geral técnica das vulnerabilidades de trovoada
Thunderclap afeta a maneira como os periféricos baseados em Thunderbolt podem se conectar e interagir com os sistemas operacionais mencionados anteriormente. Isso eventualmente permitiria que um dispositivo malicioso roubasse dados diretamente da memória do sistema operacional, como informações altamente confidenciais.
Vale ressaltar que a equipe de pesquisadores (da Universidade de Cambridge, Rice University, e SRI International) divulgou essas falhas de segurança em 2016. Demorou três anos em um trabalho silencioso com versões de hardware e sistema operacional para tentar corrigir os problemas. Infelizmente, Os fornecedores de sistemas operacionais não reagiram de forma adequada o suficiente à descoberta, e a maioria dos ataques baseados em Thunderclap ainda são válidos e exploráveis.
Acontece que os fornecedores de hardware e sistema operacional estão amplamente cientes das ameaças apresentadas por essas vulnerabilidades, e empregar uma unidade de gerenciamento de memória de entrada-saída (IOMMU) para limitar o acesso de periféricos habilitados para DMA à memória do sistema. Mac OS, Linux, e FreeBSD, por exemplo, pode ser configurado para abrir apenas porções limitadas da memória do kernel para DMA, a fim de prevenir dispositivos maliciosos, o relatório destaca.
Quão protegidos estão os sistemas operacionais afetados no momento?
A Microsoft habilitou o suporte para IOMMU para dispositivos Thunderbolt no Windows 10 versão 1803, que foi enviado em 2018, diz o relatório. Hardware anterior atualizado para 1803 precisa de uma atualização de fornecedor de firmware. Apesar desses esforços, as vulnerabilidades mais complexas que os pesquisadores descrevem permanecem relevantes.
no MacOS 10.12.4 e depois, A Apple abordou a vulnerabilidade específica da placa de rede que os pesquisadores utilizaram para obter um shell de root. Não obstante, Os dispositivos Thunderbolt ainda têm acesso a todo o tráfego de rede e, às vezes, pressionamentos de tecla e dados de framebuffer.
E quanto ao Linux? A Intel lançou patches para a versão 5.0 do kernel Linux (em breve será lançado) que habilitam o IOMMU para Thunderbolt e evitam a vulnerabilidade de desvio de proteção que usa o recurso ATS do PCI Express.
Quanto ao FreeBSD, o projeto "indicou que dispositivos periféricos maliciosos não estão atualmente em seu modelo de ameaça para resposta de segurança. Contudo, FreeBSD atualmente não suporta hotplugging Thunderbolt”.
Os pesquisadores também lançaram o código Thunderclap de prova de conceito em GitHub.
Outras medidas necessárias
Infelizmente, isolando a memória do dispositivo, conforme implementado pelo macOS em 2012 e agora Windows 10 1803 está longe de ser o suficiente para mitigar os problemas do Thunderclap. Dispositivos maliciosos podem se moldar para atingir interfaces vulneráveis, escolhendo o software mais fraco para atacar, entre outras coisas.
“Não é suficiente simplesmente ativar as proteções IOMMU básicas na estrutura do barramento PCIe e considerar o trabalho concluído. Nossos resultados mostram que não há defesa em profundidade: as camadas além, como pilhas de comunicação e alocadores de memória, não são protegidos contra dispositivos maliciosos,” os pesquisadores alertaram.
Felizmente, a cooperação com fornecedores de sistema operacional levou a uma melhoria no IOMMU (Unidade de gerenciamento de memória de entrada-saída) segurança e mitigação de vulnerabilidade por meio de atualizações de software atualmente implantadas. Para divulgação técnico completo, referir-se Os pesquisadores’ relatório detalhado.