A Cambridge-i Egyetem, a Rice Egyetem, valamint az SRI International kutatói mint kiderült, még évekkel ezelőtt felfedeztek egy sebezhetőséget a Thunderbolt szabványban, ám a publikálása előtt az operációs rendszerek fejlesztőit, illetve az Intelt is értesítették, hogy legyen idő a szükséges biztonsági frissítések elkészítésére. A kutatók a dokumentum szerint 2016 óta folytatnak együttműködést az operációs rendszerek fejlesztőivel annak érdekében, hogy a sebezhetőségre közösen találhassanak megoldást. Maga a Thunderclap nevre keresztelt sebezhetőség egyébként a héten megrendezett NDSS 2019 konferencia alkalmával vált nyilvánossá.
Hogy miről van szó? Gyakorlatilag arról, hogy az USB-C portot használó Thunuderbolt 3-as eszközöknél megkerülhető a közvetlen memória-hozzáférést gátló IOMMU címfordítási és védelmi funkció, így a támadók privát adatokhoz férhetnek hozzá a VPN forgalom megcsapolásával, valamint a kernel vezérlőfolyamát is másodperceken belül irányításuk alá vonhatják egy root shell indításával. Ez azért lehetséges, mert míg a PCI Express interfész és a rendszermemória között húzódó IOMMU segít a perifériák lehetőségeinek korlátozásában, addig az eszközdriver és a periféria között húzódó DMA csatorna eléggé lyukacsos, így komplex támadási felületnek minősül, amelyen keresztül a támadók befolyásolhatják a szoftver működését, valamint az esetleges sérülékenységeket is kihasználhatják. Ehhez csak megfelelően előkészített Thunderbolt kábelre, vagy Thunderbolt portos eszközre, illetve egy gyanútlan felhasználóra van szükség.
A sebezhetőség a Windows mellett macOS, Linux és FreeBSD alatt is működhet, eszközök terén pedig a tápadapterektől a dokkolókon át egészen a projektorokig sokféle opciót vehetnek igénybe a felkészült támadók. Remek bizonyíték erre, hogy akutatók a tesztek sorána speciális eszköz csatlakoztatását követően másodperceken belül meg tudták kerülni az IOMMU védelmet a sebezhető operációs rendszerek esetében. Az Apple, a Microsoft és az Intel szakemberei már megtették a szükséges lépéseket annak érdekében, hogy a támadásforma ellen védelmet nyújthassanak, vagyis már elkészültek a szükséges biztonsági frissítésekkel.
A kutatók azt ajánlják, tartózkodjunk a gyanús kábelek és perifériák használatától, aki pedig biztosra akar menni, tiltsa le a Thunderbolt csatolót, ha teheti, így csak a Thunderbolt támogatásról kell lemondania, az USB-C további funkcióit attól még élvezheti. Ez persze nem minden esetben járható út, így marad a frissítések telepítése és a biztos forrásból érkező kábelek és eszközök használata.
A kutatás minden részletre kiterjedő dokumentációját itt találják az érdeklődők.
