[视频]微软不用Thunderbolt是有道理的：5分钟可解锁Windows PC

微软为何不使用Thunderbolt 3端口呢？这是因为他们认为Thunderbolt端口提供了直接访问PC内存的不安全访问，可能会导致各种漏洞和安全威胁。果不其然，近日安全研究人员Björn Ruytenberg演示了一种能够轻松绕过英特尔Thunderbolt安全功能，允许黑客从锁定和加密的PC中复制内存或者轻松绕过锁屏的破解方式。

在演示过程中他使用了一项名为Thunderspy的工具，主要利用了以下漏洞进行攻击

● 不完善的固件验证方案

● 弱化的设备认证方案

● 使用未经认证的设备元数据

● 利用向后兼容性进行降级攻击

● 使用未经认证的控制器配置

● SPI闪存接口的缺陷

● Boot Camp上没有Thunderbolt安全系统

该工具允许有物理访问权限的攻击者永久地重新编程你的PC，并从此允许任何人绕过各种安全措施直接访问内存。Ruytenberg在下面的视频中演示了这一攻击。

他的工具允许创建任意的Thunderbolt设备身份，克隆用户授权的Thunderbolt设备，最后获得PCIe连接，以执行DMA攻击。此外，它还允许未经认证的覆盖安全级别配置，包括完全禁用Thunderbolt安全。

如果系统被限制只通过USB和/或DisplayPort传输，还可以恢复Thunderbolt连接，最后还可以永久禁用Thunderbolt安全，并阻止后续的所有固件更新。

Ruytenberg指出，所有在2011-2020年之间出货、配备Thunderbolt的设备都容易受到攻击。此外自2019年以来提供Kernel DMA保护的设备，都存在该漏洞。Thunderspy漏洞无法在软件中修复，会影响到未来的USB 4和Thunderbolt 4等标准，最终需要重新设计芯片。

在较新的PC上（2019年起），英特尔的内核DMA保护提供了一定的保护，但有趣的是，当苹果MacOS笔记本启动到Bootcamp时，所有的Thunderbolt安全都被禁用。

Ruytenberg正在提供一个开源工具Spycheck，可以验证你的系统是否受到Thunderspy的攻击。如果发现有漏洞，Spycheck会指导用户如何帮助保护系统的建议。如果你有一个受影响的系统，Ruytenberg建议:

● 只连接自己的Thunderbolt外设。千万不要把它们借给别人。

● 避免让系统在开机时无人看管，即使是在锁屏状态下也不要离开设备。

● 避免让你的Thunderbolt外设无人看管。

● 在存储系统和任何Thunderbolt设备时，确保适当的物理安全，包括Thunderbolt供电的显示器。

● 考虑使用休眠模式（Suspend-to-Disk）或完全关闭系统电源。具体来说，避免使用休眠模式（Suspend-to-RAM）。

cnBeta.COM  2020-05-11 16:45:41