Actualités

Thunderspy : l’ensemble des versions Thunderbolt affecté par 7 vulnérabilités !

Loin d’être le clap de fin (en référence à Thunderclap, dévoilée en 2019), la connectique Thunderbolt est à nouveau dans la tourmente sécuritaire : 7 nouvelles failles ont été mises en lumière. Elles permettraient principalement de pouvoir espionner la victime à son insu.

 

 

C’est en tout cas ce que démontre l’étudiant en Sciences informatiques et en ingéniérie Björn Ruytenberg. Dans un rapport détaillé, il est ainsi dévoilé que depuis le 10 Février 2020, le protocole conçu initialement par Intel essuie bon nombre d’intrusions sécuritaires : l’affaire datant loin d’hier, depuis 2019, ce protocole, via Thunderclap, mettait à jour des ports USB-C ou encore les fameux DisplayPort ou miniDisplayPort branlants. Colin Rothwell, issu à l’époque de l’Université de Cambridge, levait le voile sur une exfiltration de données insidieuse au cœur de la DMA (Direct Access Memory ou Accès Direct à la Mémoire : technique permettant de faire transiter les données ou informations (lecture-écriture) sans intervention aucune d’un composant-logiciel) qui, par la corruption de l’IOMMU (Input-Output Memory Management Unit ou Unite de Gestion de la Mémoire d’Entrée-Sortie : un procédé similaire à la Gestion de l’Unité-Mémoire – ou MMU, pour Memory Management Unit – qui permet au système de diriger ou d’éconduire un accès-mémoire d’un périphérique – ou d’une information liée à une micro-puce, pour le cas de la technique reposant sur le MMU – pour garantir, en théorie, un accès sécuritaire fiable. Au final et quand la faille s’insinue dans le système distant, bon nombre de données sensibles sont extirpées par le truchement d’une telle manipulation : “la nouvelle plate-forme d’évaluation de la sécurité Thunderclap, construite sur du matériel FPGA (Field-Programmable Gate Array), imite les fonctionnalités d’un périphérique légitime pour convaincre un système d’exploitation cible de lui accorder l’accès à des régions de mémoire. Il examine ensuite ces régions de la mémoire pour trouver une surface d’attaque riche et nuancée de structures vulnérables qui peuvent être exploitées pour prendre le contrôle du système […] les mots de passe, les connexions bancaires, les fichiers privés et l’activité du navigateur sont tous exposés, et un attaquant peut injecter le code de leur choix sur votre machine“.

 

Les leçons passées n’ayant malheureusement pas suffi, 7 nouvelles vulnérabilités sont venues agrémentées ou renforcer la faille initiale :

 

  • Corruption des fichiers-signature lors des diverses mises à jour de firmware (mémoire-flash SPI) de Thunderbolt : “Pour garantir l’authenticité du firmware, lors de l’écriture de l’image sur la mémoire flash, les contrôleurs Thunderbolt vérifient la signature intégrée du firmware par rapport au publickey d’Intel stocké dans du silicium. Cependant, nous avons constaté que l’authenticité n’est pas vérifiée au moment du démarrage, lors de la connexion de l’appareil ou à un moment ultérieur. Au cours de nos expériences, en utilisant un programmeur SPI, nous avons écrit des micrologiciels arbitraires et non signés directement sur le flash SPI” ;

 

  • Mauvaise identification (ou attachement) au niveau des identifiants ou de la signature des fichiers-signature ;
  • Détournement potentiel de la métadonnée d’un périphérique non-identifié via l’exploitation d’une DROM (ROM relative au périphérique, “device”) qui “n’est pas vérifiée cryptographiquement” ;
  • Fatalement, l’héritage des anciennes versions (Thunderbolt 3 hérite du Thunderbolt 2, par exemple) permet une accumulation de multiples vulnérabilités ;
  • Compromission de l’UEFI : le micrologiciel permettrait d’exploiter une faille au niveau de sa réinitialisation au démarrage qui n’a ou ne nécessite aucune information d’authentification lorsque l’utilisateur paramètre un niveau de sécurité : “nous avons constaté que ces états peuvent être soumis à une désynchronisation […] cette vulnérabilité soumet le contrôleur hôte Thunderbolt à une substitution non authentifiée et secrète de la configuration des niveaux de sécurité” ;
  • Inteface flash SPI défaillante : paradoxalement, l’impossibilité de désactiver la protection contre l’écriture empêche d’ajuster, dans le futur, certaines “conditions d’erreurs matérielles”. De ce fait, aucune souplesse du côté de l’UEFI (cf. le point ci-avant, évoquant un effacement des paramètres de sécurité lors d’un reboot) ce qui peut entraîner une mise à jour du firmware défaillante (cf. tout premier point du listing), avec des fichiers corrompus ou mal identifiés (signature) ;
  • Enfin, absence d’environnement sécuritaire au sein de Boot Camp, l’utilitaire d’Apple (également disponible pour les systèmes Windows et Linux…) : “lorsque vous exécutez l’un des systèmes d’exploitation, Mac UEFI désactive toute la sécurité Thunderbolt en utilisant le niveau de sécurité «Aucun» (SL0). En tant que telle, cette vulnérabilité soumet le système Mac à des attaques DMA triviales basées sur Thunderbolt“.

Selon le papier sécuritaire, les versions 2 et 3 de Thunderbolt seraient concernées ; plus précisément, les connectiques fabriquées entre 2011 et 2020. La faille de 2019 liée à Thunderclap et affectant la DMA rend “partiellement” vulnérables certains systèmes. Bien évidemment, il est souligné que la future version de Thunderbolt (v4.0) ainsi que l’USB-adapté en découlant (USB-4) “nécessiteront une refonte au silicium“… Le site fournit un petit utilitaire : nommé “Spycheck“, il contient un exécutable au sein d’un fichier .ZIP qui vous permettra de savoir si votre terminal est infecté ou non par cette slave de vulnérabilités.

 

Il est aussi recommandé, système affecté ou non, quelques précautions :

 

  • S’assurer que l’on connecte un périphérique Thunderbolt connu (ne pas autoriser une personne étrangère voire même un ami, malheureusement, à prendre la main sur la connectique avec un DDE ou une clé USB, par exemple) ;
  • Session verrouillée ou en veille, il faut s’assurer que le terminal n’est potentiellement pas à la portée d’une main malveillante ou douteuse ;
  • S’assurer, implicitement, que la connectique Thunderbolt n’est pas utilisée à votre insu ;
  • Prioriser l’hibernation que la simple veille (voire l’arrêt) de votre terminal quand vous n’êtes pas là ou présent dans la pièce ;
  • Enfin, si vous n’utilisez que très rarement le port Thunderbolt, il est vivement conseillé de désactiver la connectique depuis l’UEFI / BIOS. Bien évidemment, pour les terminaux n’ayant que du quasi ou full-Thunderbolt, il faudra se rabattre, faute de mieux pour l’heure, sur les recommandations ci-dessus. Attention : l’USB-C, même après désactivation du port Thunderbolt, résidera.

 

Pour l’heure, Intel a choisit de ne pas fournir de patch correctif puisque la faille de 2019 aurait déjà été colmatée par ses soins tout en ajoutant, le 10 Mai dernier au sein de son communiqué officiel, qu’à l’époque en 2019, “les chercheurs n’ont pas démontré d’attaques DMA réussies“. Apple ne semble pas affecté par ce problème… A veiller !

 

Source : site dédié à Thunderspy (Björn Ruytenberg)




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020