密码在线破解成功率高达99.3%,这个黑客平台有点牛!

  • 发表 2020-06-21 19:42
今天我们要说的就是它的接口——"雷电"。 首先给还在用USB的小伙伴们普及一下什么是雷电接口。。。。。。土豪请略过。 雷电(Thunderbolt)是一种Intel倡导的高带宽互连技术扩展接口,最初由

今天我们要说的就是它的接口——"雷电"。

首先给还在用USB的小伙伴们普及一下什么是雷电接口。。。。。。土豪请略过。

雷电(Thunderbolt)是一种Intel倡导的高带宽互连技术扩展接口,最初由Intel与苹果合作开发定制,运用在当时的mini DP接口上,用来实现设备扩展和高速传输。

雷电1和雷电2在苹果的Mac系列电脑上较为常见,广泛出现在笔记本电脑、台式机和其他系统中。而作为基于PCIe的设备,雷电3接口支持直接内存访问(DMA)。

目前已经更新迭代了3个版本,在Type-C接口广泛普及后,Intel决定将雷电3物理接口由以往的mini DP改为Type-C。

苹果电脑存在硬件漏洞?黑客5分钟就可以入侵

看到这里,可能还是有小伙伴一头雾水,一会说是雷电3接口,一会又是Type-C接口,到底是什么接口?

其实,它们是属于不同分类的一个标准,Type-C是一种数据传输线的硬件接口形式,属于物理外形;而雷电3则是一种数据传输协议,属于软件层面。

因此,Type-C只是雷电3的依附接口类型。

为了方便大家区分,所有支持雷电3的接口旁边都会带有"闪电"标志。

苹果电脑存在硬件漏洞?黑客5分钟就可以入侵

最早只是苹果在用的雷电接口,目前已经应用于很多大厂生产的电脑上。

至于为什么全都要用?快、功能多、好使就完了。

下面我们进入正题:

雷电3(Thunderbolt)接口存在缺陷,2019 年之前生产、出货的配备雷电3的设备都容易受到攻击。

而自2019 年后已交付的提供内核DMA保护的设备,也在一定程度上易受攻击。

并且该漏洞不能在软件中修复,这可能直接影响未来的 USB 4 和Thunderbolt 4 等标准,需要对芯片进行重新设计。

苹果电脑存在硬件漏洞?黑客5分钟就可以入侵

网上有一段视频,安全人员BjörnRuytenberg使用了名为 Thunderspy 的工具,通过创建任意的雷电3设备身份,克隆用户授权的 雷电3设备,最后获得 PCIe 连接以执行 DMA 攻击。

此外,该漏洞还允许未经认证的覆盖安全级别配置,包括完全禁用 Thunderbolt 安全。

有物理访问权限的攻击者能够永久地重新编程受害者的设备,并从此允许任何人绕过各种安全措施直接访问内存。

在视频中,他卸下了ThinkPad笔记本的后盖,用SOP8烧录夹将SPI编程器和主板上的雷电控制器针脚连接起来。

然后他只用了2分钟就重写了雷电控制器的固件,绕过密码禁用了禁用了安全性设置。

经过这一番操作后,黑客就能通过插入雷电设备改写操作系统,即使是全盘加密的电脑也不在话下。

这类攻击是"隐身"的,意味着不仅找不到攻击的任何痕迹,而且设备即使处于睡眠模式或锁定的状态,被称为Thunderspy的攻击也可以从中读取和复制所有数据,并且还可以从加密驱动器中窃取数据,这一过程可能只要5分钟。

苹果电脑存在硬件漏洞?黑客5分钟就可以入侵

2019年2月,安全研究人员就发现了一个与Thunderspy类似的相关入侵事件 Thunderclap,配有雷电接口的计算机易受大量直接内存访问 (DMA) 攻击。

随后,英特尔发布了可以防止Thunderspy攻击的安全机制:内核DMA保护,但该机制在较早的配置中未实现,所以2019 年之前生产的设备依然易受到影响。

而哪怕是2019年后的设备,如MacOS 笔记本(2011年开始发布的除Retina MacBooks外的所有Apple Mac均提供雷电连接)启动到 Bootcamp 时,所有的 Thunderbolt 安全都会被禁用,因此也容易受到影响。

而目前的消息是,英特尔尚未发布任何Thunderspy漏洞的CVE信息,并且不计划发布针对市场上已有系统的修复程序。

苹果则决定不为Thunderspy提供修复程序。

目前为止,还有很多人认为这个漏洞必须要拆机才行,因为这不是一个漏洞,而是七个不同的漏洞

媒体喜欢放的那段拆机攻击视频,其实是攻击漏洞5、6的演示视频。

其他五个漏洞都不需要拆电脑,只要给受害者一个做过手脚的雷电接口设备就可以。

当然,听到这里想必还是有读者觉得小题大做,"需要一个做过手脚的设备才能攻击,那我只要不去乱插可疑的设备不就行了?"

好,那么我有一个小问题:可疑的设备具体指什么?U盘?鼠标?

如果同事借给你一根手机充电线,或者你的办公桌上躺着一条数据线,你觉得这根数据线会攻击你的电脑吗?

这种数据线现在国内团队就有在做,三四百块钱一条,攻击者可以一边跟受害人聊天吸引注意,一边用手机蓝牙一键启动攻击。

当然,如果不愿意付出几百块钱的巨款的话,还有一些更廉价的攻击方式。

比如故意把做过手脚的U盘落在别人公司的厕所里,捡到U盘的人往往会出于好奇,或者是为了找出失主的线索,把U盘插到自己的电脑上看一眼,然后收获一份意外的惊喜。

以上这些只是想要让大家明白,"恶意设备"这个东西,比你想象的还要无孔不入,不过现在还是让我们把视线拉回到这次的漏洞报告上来。

Bjorn的报告一共发布了两种攻击模式、七个漏洞:

模式1:BadUSB,也就是上方视频展示的攻击方式。

这个攻击方式在Windows和Linux上都长期奏效,而macOS通过一个白名单提高了攻击难度,可惜这次的漏洞成功绕过了macOS白名单。

模式2:利用一个叫DMA(Direct Memory Access)的功能直接攻击电脑内存。

这种攻击Intel之前早就有所考量,所以设计了一些安全机制和四种安全等级来防御这种攻击。最低等级是SL0(无防护)。

最高等级是SL3(禁用DMA),默认等级是SL1,用户授权过的设备才能使用DMA。

同样的,这次的漏洞能够通过两种方式花式绕过Intel这些防御机制。

不过即使绕过了防御机制,这种攻击模式对于Mac电脑仍然不奏效,因为Mac使用虚拟化技术把硬件接口都隔离了。

1)各家厂商生产的雷电控制器芯片普遍偷工减料,没有按照相关标准对固件更新进行签名验证。通过这个漏洞,攻击者可以直接把没签名的恶意内容写进芯片,植入恶意代码或修改敏感数据。

2)雷电设备的识别信息没有任何额外的验证机制,不管是基于硬件的验证还是基于密码学的验证都不存在,电脑会直接信任雷电设备上报的识别信息。

3)雷电设备控制器芯片中存储设备识别信息的部分(DROM)也没有任何形式的验证,攻击者可以直接修改里面的内容。

4)雷电3协议的兼容机制设计不合理,遇到雷电2设备时,会无视安全等级直接切换到雷电2。完美兼容了雷电2的设备的同时,也完美兼容了雷电2的漏洞。

5)电脑会无条件信任自己主板上控制器记录的安全等级,如果其他组件记录了一个不一样的安全等级,就以控制器芯片上记录的安全等级为准。而控制器芯片,是可以利用漏洞1进行篡改的。

攻击者可以利用这个漏洞,把控制器的安全等级直接下调到SL0(无防护)。

6)雷电控制器芯片对于硬件异常不进行上报,硬件异常导致的更新失败、设置失败都不会反馈给用户。所以攻击者可以锁死控制器芯片的储存器,迫使控制器永远停留在被黑的状态。

7)在Mac电脑上安装Windows/Linux系统后,Mac硬件会禁用雷电芯片的所有安全防护措施,直接把安全等级下调到SL0(无防护)。

在Windows/Linux系统上,设备开启DMA功能默认需要经过用户授权。

利用漏洞1~3组合,攻击者就能克隆一个用户授权过的设备,然后掉包它,把恶意设备还给用户。

用户拿着还回来的设备欢天喜地回到家,一插电脑就被黑了。

对于Mac系统,黑客可以随便上淘宝买一台Mac白名单厂商生产的移动设备,克隆识别信息到恶意设备上,恶意设备就能绕过Mac的防护发动BadUSB攻击。

漏洞4其实,可大可小。

如果雷电2协议再爆出一堆漏洞的话,漏洞4就会产生一堆漏洞的效果。

最后一个漏洞么,坦白地说我怀疑它不是个漏洞,苹果工程师就是想这么设计……

毕竟连华强北生产的杂牌子恐怕都起码支持一个SL1的防护,苹果抬手给用户调个SL0,我只能理解为不想花时间精力来保护竞争对手的用户……

利用漏洞5~7把安全等级下调到SL0后,用户随便插一个恶意雷电设备就会被黑,不需要额外的物理接触。

由于Thunderspy变种5和6允许永久未经身份验证的安全级别覆盖,因此将雷电配置为仅通过USB / DisplayPort(SL3)传输依然不足以保护系统免受攻击。

因此,建议大家:

1、通过免费的开源工具Spycheck,验证是否受到Thunderspy的攻击:

https://thunderspy.io/

2、如果设备中存在雷电3接口,那么:

仅连接自己的雷电外围设备。

避免在打开电源时使系统无人看管,即使屏幕锁定也是如此。

避免将雷电外围设备放在无人看管的情况下。

在存储系统和任何雷电设备(包括雷电供电显示器)时,确保适当的物理安全性。

避免使用睡眠模式(暂停到内存)。

苹果电脑存在硬件漏洞?黑客5分钟就可以入侵

3、如果暂时不打算使用雷电3,那么:

在UEFI(BIOS)中禁用Thunderbolt控制器。。。。。。。

苹果是最早采用雷电接口的厂商之一,十年前,就开始提供雷电接口。

但是研究人员表示,macOS系统只会受到"部分影响"。

但是如果你的Mac用BootCamp运行Windows系统,仍然易受到攻击。

由于Thunderspy是一个硬件漏洞,除了内核DMA保护外,英特尔不会提供任何措施来解决,也不会发布任何公共安全公告来通知民众。

前不久制定的USB 4标准中将集成Thunderbolt 3标准,因此Thunderspy也会对未来USB 4芯片设计带来深远的影响。

之前爆出雷电3漏洞那个研究员怕不是微软赞助的233333,开玩笑哈。。虽然Windows系统也会受到Thunderspy漏洞的影响,但是微软看了说,还是我们自家的Surface Connector香~~~~

相关标签

产品经理

39 篇新闻