Thunderbolt漏洞能使黑客从Windows和Linux计算机上窃取文件
2020/05/13 08:32:27 来源:Linux公社 作者:醉落红尘

安全研究员Björn Ruytenberg透露了Thunderbolt 3标准漏洞的详细信息。该安全漏洞意味着,即使文件被加密且计算机被锁定,具有物理访问权限的黑客也有可能复制数据。

该漏洞影响所有在2011年至2020年之间生产的带有Thunderbolt端口的系统,但是自2019年以来生产的某些系统具有内核DMA保护,这意味着它们仅部分受到威胁。 Windows和Linux均提供测试工具,因此您可以检查计算机是否容易受到攻击。

Ruytenberg在他的研究报告中解释说,Thunderspy是一种隐形攻击,不会留下任何痕迹,也不需要任何形式的网络钓鱼或社会工程。该漏洞的另一个特别令人担忧的特性是它的执行速度。在英特尔的Thunderbolt 3实现中总共发现了7个漏洞。英特尔、苹果和11个oem/odm以及Linux内核安全团队已经收到了有关问题的通知。

Ruytenberg解释说:

即使您遵循最佳安全性做法,Thunderspy也可以工作,即使您短暂离开也可以锁定或挂起计算机,并且系统管理员已使用安全启动,强大的BIOS和操作系统帐户密码设置了设备并启用了完整磁盘加密,但Thunderspy仍然可以工作。 攻击者仅需5分钟就可以使用计算机,一个螺丝刀和一些易于携带的硬件。

您可以下载Windows的SpycheckLinux的Spycheck,以了解您的计算机是否有危险。 坏消息是,目前没有针对这些漏洞的修复程序。如果您的系统被发现存在风险,您所能做的就是遵循最佳实践建议,不要让您的计算机处于无人看管的状态。

英特尔通过博客文章回应了该漏洞,英特尔平台保障与安全部门的安全通信主管Jerry Bryant在博客中写道:

2020年2月,埃因霍芬理工大学的研究人员向英特尔提交了一份有关Thunderbolt™的报告,他们将其称为“Thunderspy”。

在报告中,他们讨论了与侵入性物理攻击Thunderbolt™主机和设备相关的问题。虽然潜在的漏洞并不是新出现的,而且在去年的操作系统发布版中就已经解决了,但是研究人员在没有启用这些缓解措施的系统上使用定制的外围设备,演示了新的潜在物理攻击载体。

在2019年,主要的操作系统实现了内核直接内存访问(DMA)保护,以减少此类攻击。这包括Windows (Windows 10 1803 RS4及更高版本)、Linux(内核5)。和MacOS (MacOS 10.12.4和更高版本)。研究人员没有证明DMA攻击能够成功地攻击启用了这些缓解措施的系统。请与您的系统制造商确认您的系统是否包含这些缓解措施。对于所有系统,我们建议遵循标准的安全实践,包括只使用受信任的外围设备和防止未经授权的物理访问计算机。

有关其他资源,请参考Microsoft关于Windows 10中的Thunderbolt™安全性的文章和Intel在2019年发布的相应文章。

作为“安全第一”承诺的一部分,英特尔将继续改进Thunderbolt™技术的安全性,我们感谢来自埃因霍芬理工大学的研究人员向我们报告了这一情况。

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2020-05/163181.htm


8

本栏最新