来自剑桥大学、莱斯大学与斯坦福国际研究院(SRI International)的研究人员,公布了一项有关Thunderbolt接口安全性的研究报告,借由恶意的Thunderbolt周边设备开采IOMMU漏洞,宣称几秒内就可攻陷目标系统,允许黑客以最高权限执行任意程序,或是执行直接内存访问(Direct Memory Access,DMA)攻击,以访问内存中所存放的密码、银行凭证或加密密钥等,殃及Windows、macOS、 Linux与FreeBSD等平台。
研究人员打造了结合软、硬件的Thunderclap平台,仿真合法周边设备的功能以开采操作系统“输入/输出内存管理单元”(input-output memory management units,IOMMU)保护机制的漏洞,取得DMA权限,再滥用该权限危害目标系统。而Thunderbolt 3则是促进相关攻击的要件之一。
研究人员利用Thunderclap平台挖掘了众多的安全漏洞,将它们统称为Thunderclap漏洞,也已开发出多种概念性验证程序。
Thunderclap漏洞奠基在以往被视为计算机系统可靠组件的网卡或GPU,不需要操作系统的监督就能读写系统内存(DMA),为了保护它,操作系统配备了可用来限制周边设备访问内存的IOMMU机制,倘若黑客能够绕过IOMMU,就能滥用DMA权限。在研究人员所发现的DMA攻击漏洞中,有时候是系统根本没激活IOMMU或配置错误,有些漏洞就算是激活了IOMMU也能被开采。
而由英特尔与苹果共同开发的Thunderbolt主要用来链接计算机与周边设备,最新的Thunderbolt 3可使用USB Type-C接孔,可同时支持充电与数据传输,除了苹果设备之外,也有不少采用其它平台的笔记本电脑支持Thunderbolt。
研究人员指出,诸如允许Thunderbolt 3使用Type-C传输端口等硬件互连机制的兴起,结合了电力的输入、视频的输出,再加上周边设备的DMA也在同一个链接端口上,大大地提高了Thunderclap的实际攻击能力。例如Thunderbolt允许恶意周边热插入正在执行的计算机并直接访问内存,让临时起意的DMA攻击更可行,而电源、视频或DMA的混乱,也有助于黑客打造可掌控计算机的恶意充电站或投影机。
Thunderclap漏洞影响了苹果从2011年迄今所生产的所有桌面计算机及笔记本电脑,但12英寸MacBook除外,以及2016年以来所生产的部分Windows与LinuxPC机及笔记本电脑,只要支持Thunderbolt的计算机就会受到波及。
此外,恶意的PCI Express设备,不管是网卡或焊在主板上的芯片,也能够开采Thunderclap漏洞。
其实研究人员早在2016年就向企业披露了相关漏洞,苹果已解决特定网卡问题,微软是在去年发布的Windows 10 1803中针对Thunderbolt设备提供IOMMU支持,英特尔则替Linux kernel 5.0贡献了修补程序,但这些企业的修补并未解决所有问题,目前最好的建议是避免插入来路不明的Thunderbolt设备。
尽管如此,研究人员还是决定开源Thunderclap平台,以协助那些缺乏资源与技术的企业,评估自家产品面对DMA攻击的承受力。