5分钟实现无密码电脑访问！英特尔雷电接口爆出七类漏洞，波及三大操作系统

荷兰埃因霍温理工大学的安全研究人员近日公布，在英特尔 2011 年推出的 Thunderbolt 接口（雷电接口）标准中发现了多个安全漏洞，最新的第三代雷电接口标准也未能幸免。
研究报告列举了七类漏洞和与之配套的攻击手段，比如固件验证机制不完善，脆弱的设备认证机制，使用未经身份验证的设备元数据和使用未经身份验证的控制器配置等等。
这些漏洞可能影响到 2019 年之前所有配有雷电接口的电脑，包括兼容第三代雷电接口标准的 USB Type-C 接口。三大主流 PC 操作系统 Windows、Linux 和 MacOS 都受到波及，其中 MacOS 受到的影响最小，只有小部分攻击方式对其“部分有效”。
在能够物理接触设备的前提下，即使用户未登录操作系统，电脑处于密码保护状态，甚至是硬盘经过加密，也无济于事——滥用漏洞的黑客可以在 5 分钟内跳过笔记本的密码登录界面，实现无密码访问。

图 | 报告列举七类漏洞是否会影响三个系统（来源：Bjrn Ruytenberg）
这种攻击方式可以被归类为 “邪恶女仆（Evil Maid）” 攻击的一种，主要针对已经关机但无人看管的计算机，利用 U 盘，bootloader 引导程序和键盘记录器等工具进行非盗窃式入侵，以获取登录信息和其他机密数据为目的。
除了要求攻击者能够物理访问目标设备以外，这种攻击实施起来并不困难，而新的雷电接口漏洞很可能让 “邪恶女仆” 攻击变得更简单，更具破坏力。
漏洞主要发现者是 Bjrn Ruytenberg，除了安全漏洞研究员的身份，他还是荷兰埃因霍温理工大学计算机科学系的研究生。他将该漏洞命名为“Thunderspy”，呼应在 2016 年被发现的另一个雷电接口漏洞“Thunderclap”（2019 年才被公开）。
对此英特尔回应称，“虽然安全人员提出了新的攻击方式，但该漏洞并非最新发现，已经在去年的操作系统更新中修复了。”
英特尔还在官方博客中强调，在运行 Windows 10 1803 RS4 版本及以上，Linux Kernel 5.x 版本及以上，MacOS 10.12.4 版本及以上的电脑上，都实施了 “直接内存访问（DMA）” 保护措施，以解决这一漏洞。

图 | 英特尔回应过去已经修复了类似漏洞（来源：英特尔）
然而 Ruytenberg 不认同这种说法。他表示，在实验中，团队没有发现任何一台戴尔电脑安装了上述保护措施，只有部分惠普和联想笔记本安装了。
他还认为，有的漏洞不能通过纯软件的方式修复，因为它们本质上与硬件设计有关，即使用户在操作系统中调整了安全设置，也不能完全避免此类攻击。
在概念验证视频中，Ruytenberg 展示了一台休眠的 2019 款联想 ThinkPad，运行 Windows 系统并设置了密码。
随后他拆下了电脑后盖，用自制攻击设备连接了储存雷电接口控制固件的 SPI 闪存，在另一台笔记本上运行脚本禁用了接口的保护措施。然后再在 ThinkPad 的雷电接口上插入另一个自制破解设备，运行 PCI Leech 软件（一种内核插入和攻击工具）来跳过 Windows 登录界面。
最终，这台原本需要密码才能登录的 ThinkPad，只需要在输入密码时敲下回车，就实现了无密码访问。全过程只需要 5 分钟，整套软硬件工具只需要数百美元。
“完全修复漏洞需要重新设计硬件，目前只有在 BIOS 设置中彻底禁用雷电接口才能做到 100% 安全，”Ruytenberg 表示，“最好还要使用硬盘加密工具，在不需要的时候将笔记本关机。”

图 | Ruytenberg 的自制破解工具
如前文所说，这并非英特尔的 Thunderbolt 技术首次被爆出安全问题，因为它依靠直接访问计算机内存来提供更快的数据传输速度，稍有不当就容易出现越权访问的安全隐患。
在 2016 年，有安全研究人员就发现了一个名为 “Thunderclap” 的漏洞，允许看似正常的 USB-C 或 DisplayPort 设备攻击计算机。在 2019 年漏洞公开后，苹果和微软表示自己早已修复了这一问题。
针对新漏洞“Thunderspy”，惠普、联想和戴尔等公司都回应了《连线》的置评请求。
惠普表示已经在大部分商业 PC 中提供了针对雷电接口 DMA 攻击的防护措施，并且默认启动。联想表示会进一步评估最新研究，以合适的方式与消费者沟通。戴尔则表示消费者应该遵守最佳安全措施，避免电脑连接未知或不信任的设备。
目前尚不清楚英特尔是否会有其他举措。
-End-
漏洞研究报告：