انتشار شده در تاریخ 1399/02/23 - 09:16

نقص امنیتی حیاتی در پورت تاندربولت

یک محقق امنیتی هلندی موفق به شناسایی یک آسیب‌پذیری در پورت تاندربولت شده است که میلیون‌ها رایانه در سراسر جهان را تهدید می‌کند.

به گزارش کارگروه امنیت سایبربان؛ بیورن روتنبرگ (Björn Ruytenberg)، محقق امنیتی و دانشجوی دانشگاه فناوری آیندهوون هلند به تازگی اعلام کرد همه رایانه‌هایی که قبل از سال 2019 ساخته شده‌اند، به علت وجود درگاه تاندربولت (Thunderbolt) آسیب‌پذیر هستند. این نقص امنیتی به واسطه دسترسی فیزیکی به سیستم قابل سو استفاده است.

روتنبرگ آسیب‌پذیری مذکور را «تاندراسپای» (Thunderspy) نامید و توضیح داد یک هکر به واسطه آن می‌تواند همه داده‌های موجود روی سیستم را سرقت کند، حتی اگر در حالت قفل یا اسلیپ (sleep) قرار داشته باشد. به علاوه با سو استفاده از این نقص می‌توان اطلاعات رایانه‌های رمزنگاری شده را نیز سرقت کرد.

گروهی از پژوهشگران نیز به طور مشابه در سال 2019 مجموعه‌ای از آسیب‌پذیری‌ها با نام «تاندرکلاپ» (Thunderclap) را در درگاه تاندربولت اینتل شناسایی کرده بودند. هکرها به کمک این نقص و یک ابزار مناسب می‌توانند به سیستم متصل شده و اطلاعات را به سرقت ببرند.

پژوهشگران برای مقابله با نقص سخت‌افزاری یاد شده به کاربران توصیه کرده‌اند از ویژگی «security levels» استفاده کنند. این ویژگی درگاه تاندربولت را به یک پورت USB یا Display port تبدیل کرده، جلوی اتصال سخت‌افزارهای غیرقابل اعتماد به سیستم را می‌گیرد.

با وجود راهکار ارائه شده در سال گذشته روتنبرگ روش جدیدی را شناسایی کرد که امکان تغییر فریمویر (firmware) داخلی تراشه را فراهم می‌کند. در این روش دیگر security levels به طور کامل ناکارآمد خواهد شد. پس از شناسایی تاندرکلاپ و راه‌کار security levels، اینتل نیز مکانیزم امنیتی دیگری را به نام « Kernel Direct Memory Access Protection» معرفی کرده بود که می‌تواند حملات تاندراسپای را نیز بی‌اثر کند.

با وجود این بررسی‌ها نشان می‌دهد که تنها تعداد کمی از رایانه‌های تولید شده پس از سال 2019 از استاندارد جدید اینتل پیروی می‌کنند. برای مثال هیچ‌ یک از تولیدات شرکت دل از این استاندارد پیروی نکرده و تنها تعداد کمی از محصولات HP و لنوو که در سال 2019 به وجود آمده‌اند به Kernel DMA مجهز هستند.

روتنبرگ برای اثبات آسیب‌پذیری مذکور از یک ابزار برنامه‌ریزی «SPI» به همراه یک تراشه «SOP8» استفاده کرد که امکان بازنویسی فریمویر را فراهم می‌آورد. در این روش هکر برای غیرفعال کردن تنظیمات امنیتی و دسترسی به اطلاعات تنها به دو دقیقه زمان نیاز دارد. با وجود این که حمله تاندراسپای خطرناک است؛ اما هکر برای انجام آن به دسترسی فیزیکی نیاز دارد که همین موضوع باعث می‌شود احتمال رخ دادن آن برای عموم مردم کاهش پیدا کند. از طرفی باید توجه داشت که فرد قربانی هرگز متوجه سرقت اطلاعات از سیستم خود نخواهد شد.

در حال حاضر میلیون‌ها رایانه ویندوزی در سراسر جهان نسبت به تاندراسپای آسیب‌پذیر هستند و هیچ روش مناسبی برای برطرف سازی آن وجود ندارد. به علاوه این آسیب‌پذیری یک نقض سخت‌افزاری بوده و بیش از هر چیز تولیدکنندگان قطعات باید راهکاری برای رفع آن در محصولات آینده خود پیدا کنند.