雷电3接口漏洞影响数百万计算机：5分钟解锁设备，无法修复

雷电3（Thunderbolt）接口存在缺陷，2019年之前生产、出货的配备雷电3的设备都容易受到攻击。而自2019年后已交付的提供内核DMA保护的设备，也在一定程度上易受攻击。并且该漏洞不能在软件中修复，这可能直接影响未来的USB 4和Thunderbolt 4等标准，需要对芯片进行重新设计。

雷电（Thunderbolt）是Intel倡导的高带宽互连技术，广泛出现在笔记本电脑、台式机和其他系统中。而作为基于PCIe的设备，雷电3接口支持直接内存访问（DMA）。

攻击手法

安全人员BjörnRuytenberg使用了名为 Thunderspy 的工具，通过创建任意的雷电3设备身份，克隆用户授权的 雷电3设备，最后获得PCIe 连接以执行 DMA 攻击。此外，该漏洞还允许未经认证的覆盖安全级别配置，包括完全禁用 Thunderbolt 安全。有物理访问权限的攻击者能够永久地重新编程受害者的设备，并从此允许任何人绕过各种安全措施直接访问内存。

这类攻击是“隐身”的，意味着不仅找不到攻击的任何痕迹，而且设备即使处于睡眠模式或锁定的状态，被称为Thunderspy的攻击也可以从中读取和复制所有数据，并且还可以从加密驱动器中窃取数据，这一过程可能只要5分钟。

安全研究人员Björn Ruytenberg演示如何利用Thunderspy工具绕过各种安全措施直接访问内存对PC进行攻击。

影响范围

2019年2月，安全研究人员就发现了一个与Thunderspy类似的相关入侵事件 Thunderclap，配有雷电接口的计算机易受大量直接内存访问 (DMA) 攻击。随后，英特尔发布了可以防止Thunderspy攻击的安全机制：内核DMA保护，但该机制在较早的配置中未实现，所以2019 年之前生产的设备依然易受到影响。

而哪怕是2019年后的设备，如MacOS 笔记本（2011年开始发布的除Retina MacBooks外的所有Apple Mac均提供雷电连接）启动到 Bootcamp 时，所有的 Thunderbolt 安全都会被禁用，因此也容易受到影响。

而目前的消息是，英特尔尚未发布任何Thunderspy漏洞的CVE信息，并且不计划发布针对市场上已有系统的修复程序。苹果则决定不为Thunderspy提供修复程序。

安全建议

由于Thunderspy变种5和6允许永久未经身份验证的安全级别覆盖，因此将雷电配置为仅通过USB / DisplayPort（SL3）传输依然不足以保护系统免受攻击。因此，建议：

1、通过免费的开源工具Spycheck，验证是否受到Thunderspy的攻击：

https://thunderspy.io/

2、如果设备中存在雷电3接口，那么：

仅连接自己的雷电外围设备。 避免在打开电源时使系统无人看管，即使屏幕锁定也是如此。 避免将雷电外围设备放在无人看管的情况下。 在存储系统和任何雷电设备（包括雷电供电显示器）时，确保适当的物理安全性。 避免使用睡眠模式（暂停到内存）。

3、如果暂时不打算使用雷电3，那么：

在UEFI（BIOS）中禁用Thunderbolt控制器。

参考链接：

https://thunderspy.io/#thunderspy-pocs https://www.zdnet.com/article/thunderbolt-flaws-affect-millions-of-computers-even-locking-unattended-devices-wont-help/

*本文作者：kirazhou，转载请注明来自FreeBuf.COM