「雷電」接口的「邪惡女僕」攻擊丨專欄

收錄於話題 #大東話安全 110個

一、小白劇場

小白：東哥，你喜歡特工系列電影嗎？我最近還想找時間再回顧一下《007》系列呢！

大東：我也很喜歡詹姆斯·邦德這個特工形象，你最喜歡特工身上的哪個能力？

小白：有好多能力我都很羨慕！但是看起來都不太現實，比如說飛簷走壁之類的。對了，東哥，好萊塢電影裡，無論電腦加密水平多麼高，黑客只需幾分鐘就能拷貝走你電腦裡所有的東西，現實中可以辦到嗎？

大東：這當然是可以的！

小白：那如果我的電腦已經設置了複雜的系統密碼、處於鎖定狀態、BIOS加密、硬碟全盤加密，在這麼高的安全等級下，黑客還能輕鬆竊取我的文件嗎？

大東：因為一個叫做Thunderspy的漏洞，這也是可以的！這種攻擊也有一個很形象的名字，叫做「邪惡女僕（evil maid）」攻擊。

小白：哇！感覺電影世界和現實世界重疊了。東哥，你都給我講講吧！

二、話說事件

大東：其實邪惡女僕攻擊就是針對已經關閉的無人看管的計算設備的攻擊。

小白：那為什麼要叫「邪惡女僕攻擊」？

大東：這是基於一種虛構情節：當你把加密筆記本留在飯店內離開去辦事後，女僕可以偷偷地進來修改bootloader引導程序以獲取加密密鑰，第二天她再來抹掉痕跡。

小白：哈哈，怪不得叫「邪惡女僕攻擊」呢！

大東：沒錯，所以2009年波蘭安全研究人員Joanna Ruthowska給這種攻擊起了這個形象的名字。他還成功演示了如果攻擊者可以親手接觸設備，即使是全磁碟加密（FDE）也不能保護筆記本電腦的安全。

小白：也就是說，這個攻擊需要兩步：第一步，攻擊者需要接觸電腦，通過從獨立硬碟或分區啟動計算機後，攻擊者修改bootloader引導程序，關閉電腦；第二步，被攻擊者使用修改過的bootloader啟動電腦，輸入加密鑰匙，當加密硬碟解鎖後，這個引導程序就可能會安裝惡意程序去獲得密鑰，通過網際網路發送到指定地點或儲存在非加密分區。

大東：沒錯，你理解得很正確。

小白：那為什麼可以利用漏洞實現邪惡女僕攻擊呢？

大東：你知道Thunderbolt接口嗎？

小白：不知道，東哥你繼續講講！

大東：Thunderbolt是Intel倡導的高帶寬互連技術，廣泛出現在筆記本電腦、臺式機和其他系統中，一般俗稱「雷電」，蘋果官方叫做「雷靂」。而它作為基於PCIe的設備，雷電3接口支持直接內存訪問（DMA）。

 

雷電接口（圖片來自網絡）

小白：聽起來「雷電」還蠻厲害的，它有什麼漏洞嗎？

大東：這是因為雷電接口可以直接訪問內存，無需CPU介入，這給外接顯卡等高速設備帶來了便利，同時也帶來了安全隱患。

小白：這是個硬體漏洞！豈不是只能今後重新設計硬體才能完全解決？

大東：沒錯，英特爾也表示今後將繼續改善Thunderbolt技術的安全性。

小白：有人成功地利用這個漏洞進行攻擊了嗎？

大東：這正是令人擔憂的，荷蘭埃因霍溫科技大學的安全研究員Ruytenberg就發布了他如何進行攻擊的視頻，你猜猜完成整個攻擊過程需要多少時間？

小白：電影裡都需要十幾分鐘，我猜得半小時以上吧？

大東：那你估計要驚訝了，只需要5分鐘！

小白：天吶，這是怎麼做到的？

大東：在視頻中，他卸下了ThinkPad筆記本的後蓋，用SOP8燒錄夾將SPI編程器和主板上的雷電控制器針腳連接起來。

 

攻擊實施畫面（圖片來自網絡）

小白：然後呢？

大東：然後他只用了2分鐘就重寫了雷電控制器的固件，繞過密碼禁用了安全性設置。經過這一番操作後，黑客就能通過插入雷電設備改寫作業系統，即使是全盤加密的電腦也不在話下。整個過程大約只需要五分鐘。

 

攻擊實施畫面（圖片來自網絡）

小白：這個攻擊過程也太快了吧？不過該漏洞的執行的必要條件是不是需要攻擊者需要物理接觸被攻擊機？

大東：不錯，具備物理訪問設備權限的攻擊者可以通過他使用的 Thunderspy工具，創建任意的Thunderbolt設備身份。通過克隆用戶授權的Thunderbolt設備，獲得PCIe連接並進行DMA攻擊。

 

攻擊示意圖（圖片來自網絡）

小白：這個漏洞還有其他的特點嗎？

大東：該漏洞還允許未經認證的覆蓋安全級別配置，包括完全禁用 Thunderbolt安全。有物理訪問權限的攻擊者能夠永久地重新編程受害者的設備，並從此允許任何人繞過各種安全措施直接訪問內存。即使設備被限制只通過USB或DisplayPort傳輸，仍舊可以通過該漏洞恢復Thunderbolt連接並永久禁用Thunderbolt安全保護盒後續的固件更新。

小白：這個攻擊實在是太可怕了！我還有個問題，實施這個攻擊所需要的成本高嗎？

大東：Ruytenberg攻破電腦的設備成本僅400美元，體積還比較大。但是他說，可以把這套設備小型化，讓攻擊更為隱蔽，成本會增加到1萬美元。

三、大話始末

小白：那這個漏洞的影響範圍大嗎？

大東：2019年2月，安全研究人員就發現了一個與Thunderspy類似的相關入侵事件Thunderclap，配有雷電接口的計算機易受大量直接內存訪問(DMA)攻擊。Björn Ruytenberg表示該漏洞會影響在2011-2020年之間發售並配備Thunderbolt的設備，2019 年之前生產、出貨的配備雷電3的設備都容易受到攻擊。

小白：那豈不是有數百萬的PC都會受到影響，2019年之後呢？

大東：2019年之後，部分設備提供了內核DMA保護，可以緩解部分（而非全部）Thunderspy漏洞。目前僅惠普和聯想的少數高端筆記本設備支持，MacOS筆記本（2011年開始發布的除Retina MacBooks外的所有Apple Mac均提供雷電連接）啟動到Bootcamp時，所有的Thunderbolt安全都會被禁用，因此也容易受到影響。

小白：不能通過軟體來修復這會造成什麼影響？

大東：這可能直接影響未來的USB 4和Thunderbolt 4 等標準，需要對晶片進行重新設計。

小白：難道這個漏洞就無法解決嗎？

大東：對於這類攻擊，英特爾確實推出了相應的應對措施。他們最近新推出了一套名為 Kernel Direct Memory Access Protection 的 Thunderbolt 安全系統，可以抵禦Ruytenberg的Thunderspy 攻擊，但問題是該套方案僅對不早於2019年生產的電腦有效。

小白：也就是說，目前市面上有數百萬的設備仍存在受到這類攻擊的風險，並且無法避免。

大東：不錯，而這可能也是微軟Surface選擇不配備Thunderbolt的原因。

四、小白內心說

小白：針對邪惡女僕攻擊，我們要怎麼防範呢？

大東：使用高強度密碼、在BIOS設置密碼防止對BIOS做出更改，僅在硬碟驅動器開啟關閉系統以及當有人更改硬體時發出防篡改警報。

小白：謝謝東哥，我知道了。雷電漏洞是一個硬體漏洞，沒有辦法修補，那我們要怎麼才能不被壞人利用這個漏洞而攻擊我們的電腦呢？

大東：首先確定你的電腦是否使用了雷電接口，雷電1和2與mini DP公用，雷電3與USB-C公用，而且採用雷電標準的接口還會在旁邊加入一個閃電標誌。

 

雷電接口標誌（圖片來自網絡）

小白：要是使用了雷電接口怎麼辦？

大東：發現自己電腦使用了也不要慌。Ruytenberg在Thunderspy網站上發布了一款名為Spycheck的軟體，讓用戶來驗證自己的電腦是否容易受到攻擊。我們可以先下載這個軟體檢驗。

小白：如果存在雷電接口，我們要採取什麼方式避免攻擊呢？

大東：不要慌，可以採取以下方式來避免被攻擊：僅連接自己的雷電外圍設備；避免在打開電源時使系統無人看管，即使屏幕鎖定也是如此；避免將雷電外圍設備放在無人看管的情況下；在存儲系統和任何雷電設備（包括雷電供電顯示器）時，確保適當的物理安全性；避免使用睡眠模式（暫停到內存）。

小白：欸？最好的方式是不是禁用這個設備？

大東：對，最有效的方法就是在計算機的BIOS中禁用計算機的雷電接口。

小白：那我要在重刷電影之前先檢查一遍自己的電腦，謝謝東哥！

參考資料：

1. 「邪惡女僕」回歸：英特爾雷電漏洞將數百萬臺PC暴露！微軟成最大贏家？

https://mp.weixin.qq.com/s/AZ4X_SbM-HYZjIWQPKE4cw

2. Thunderbolt flaw allows access to a PC’s data in minutes

https://www.theverge.com/2020/5/11/21254290/thunderbolt-security-vulnerability-thunderspy-encryption-access-intel-laptops

3. Thunderspy攻擊 5分鐘內就能解鎖Windows PC

https://security.pconline.com.cn/1342/13422784.html

4. 一種容易被人忽視的攻擊：邪惡女僕攻擊

http://www.safedog.cn/news.html?id=962

來源：中國科學院計算技術研究所 

溫馨提示：近期，微信公眾號信息流改版。每個用戶可以設置 常讀訂閱號，這些訂閱號將以大卡片的形式展示。因此，如果不想錯過「中科院之聲」的文章，你一定要進行以下操作：進入「中科院之聲」公眾號 → 點擊右上角的 ··· 菜單 → 選擇「設為星標」