新的缺陷使DMA攻击重新在现代计算机上广泛应用

多年来，基于直接内存访问（DMA）的攻击让攻击者通过插入恶意热插拔设备，例如外部网卡、鼠标、键盘、打印机、存储器和图形卡，进入Thunderbolt 3端口还是最新的USB-C端口。

基于DMA的攻击是可能的，因为Thunderbolt端口允许连接的外围设备绕过操作系统安全策略，直接读取/写入包含敏感信息的系统内存，包括密码、银行登录、私人文件和浏览器活动。
这意味着，只需插入使用拦截等工具创建的受感染设备，就可以操纵内存内容，并以比常规通用串行总线外围设备高得多的权限执行任意代码，从而允许攻击者绕过锁屏或远程控制PC。

为了阻止基于DMA的攻击，大多数操作系统和设备都利用输入/输出内存管理单元（IOMMU）保护技术来控制哪些外围设备（通常是合法的）可以访问内存以及内存的哪个区域。

ThunderClap漏洞绕过IOMMU重新启用DMA攻击

现在，来自剑桥大学、莱斯大学和SRI International的一组网络安全研究人员公布了一系列新的漏洞，这些漏洞可能允许攻击者绕过IOMMU保护。

通过模仿合法外围设备的功能，攻击者可以诱使目标操作系统允许其访问内存的敏感区域。
在本周早些时候发表的一篇论文[PDF]中，研究人员详细介绍了他们声称使用名为雷霆，他们构建并以开源的方式发布。

研究人员说：“我们的工作利用操作系统IOMMU使用中的漏洞，通过DMA危害目标系统，即使IOMMU已启用并配置为抵御DMA攻击”。

除此之外，研究人员还强调，由于IOMMU在大多数操作系统上都不是默认启用的，而且现代设备都有USB-C，DMA攻击的攻击面已经显著增加，此前主要局限于具有Thunderbolt 3端口的苹果设备。

“像Thunderbolt 3 over USB-C这样的硬件互连在同一端口上结合了电源输入、视频输出和外围设备DMA，这类互连的兴起大大增加了Thunderclap漏洞在现实世界中的适用性”。

 

“尤其是，2011年以来生产的所有苹果笔记本电脑和台式电脑都易受攻击，12英寸MacBook除外。许多笔记本电脑，以及一些设计用于运行2016年以来生产的Windows或Linux的台式电脑也受到影响——请检查您的笔记本电脑是否支持Thunderbolt”。

如何防范Thunderclap漏洞

研究人员已向所有主要硬件和操作系统供应商报告了他们的发现，其中大多数已经发布了大量缓解措施，以解决Thunderclap漏洞。

 

研究人员说：“在macOS 10.12.4及更高版本中，苹果解决了我们用来实现根外壳的特定网卡漏洞”。“最近，英特尔为5.0版Linux内核提供了补丁”。“FreeBSD项目表明，恶意外围设备目前不在安全响应的威胁模型内”。

虽然并非所有软件补丁都能完全阻止DMA攻击，但仍建议用户安装可用的安全更新以减少攻击面。根据研究人员的说法，完全保护自己的最佳方法是禁用机器上的Thunderbolt端口（如果适用）。
此外，研究人员还开发了一种概念验证攻击硬件，可以在目标系统上执行ThunderClap漏洞，但他们选择目前不公开发布。