“雷电”接口的“邪恶女仆”攻击丨专栏

微信号 zkyzswx

功能介绍 中国科学院官方订阅号

一、小白剧场

小白：东哥，你喜欢特工系列电影吗？我最近还想找时间再回顾一下《007》系列呢！

大东：我也很喜欢詹姆斯·邦德这个特工形象，你最喜欢特工身上的哪个能力？

小白：有好多能力我都很羡慕！但是看起来都不太现实，比如说飞檐走壁之类的。对了，东哥，好莱坞电影里，无论电脑加密水平多么高，黑客只需几分钟就能拷贝走你电脑里所有的东西，现实中可以办到吗？

大东：这当然是可以的！

小白：那如果我的电脑已经设置了复杂的系统密码、处于锁定状态、BIOS加密、硬盘全盘加密，在这么高的安全等级下，黑客还能轻松窃取我的文件吗？

大东：因为一个叫做Thunderspy的漏洞，这也是可以的！这种攻击也有一个很形象的名字，叫做“邪恶女仆（evil maid）”攻击。

小白：哇！感觉电影世界和现实世界重叠了。东哥，你都给我讲讲吧！

二、话说事件

大东：其实邪恶女仆攻击就是针对已经关闭的无人看管的计算设备的攻击。

小白：那为什么要叫“邪恶女仆攻击”？

大东：这是基于一种虚构情节：当你把加密笔记本留在饭店内离开去办事后，女仆可以偷偷地进来修改bootloader引导程序以获取加密密钥，第二天她再来抹掉痕迹。

小白：哈哈，怪不得叫“邪恶女仆攻击”呢！

大东：没错，所以2009年波兰安全研究人员Joanna Ruthowska给这种攻击起了这个形象的名字。他还成功演示了如果攻击者可以亲手接触设备，即使是全磁盘加密（FDE）也不能保护笔记本电脑的安全。

小白：也就是说，这个攻击需要两步：第一步，攻击者需要接触电脑，通过从独立硬盘或分区启动计算机后，攻击者修改bootloader引导程序，关闭电脑；第二步，被攻击者使用修改过的bootloader启动电脑，输入加密钥匙，当加密硬盘解锁后，这个引导程序就可能会安装恶意程序去获得密钥，通过互联网发送到指定地点或储存在非加密分区。

大东：没错，你理解得很正确。

小白：那为什么可以利用漏洞实现邪恶女仆攻击呢？

大东：你知道Thunderbolt接口吗？

小白：不知道，东哥你继续讲讲！

大东：Thunderbolt是Intel倡导的高带宽互连技术，广泛出现在笔记本电脑、台式机和其他系统中，一般俗称“雷电”，苹果官方叫做“雷雳”。而它作为基于PCIe的设备，雷电3接口支持直接内存访问（DMA）。

雷电接口（图片来自网络）

小白：听起来“雷电”还蛮厉害的，它有什么漏洞吗？

大东：这是因为雷电接口可以直接访问内存，无需CPU介入，这给外接显卡等高速设备带来了便利，同时也带来了安全隐患。

小白：这是个硬件漏洞！岂不是只能今后重新设计硬件才能完全解决？

大东：没错，英特尔也表示今后将继续改善Thunderbolt技术的安全性。

小白：有人成功地利用这个漏洞进行攻击了吗？

大东：这正是令人担忧的，荷兰埃因霍温科技大学的安全研究员Ruytenberg就发布了他如何进行攻击的视频，你猜猜完成整个攻击过程需要多少时间？

小白：电影里都需要十几分钟，我猜得半小时以上吧？

大东：那你估计要惊讶了，只需要5分钟！

小白：天呐，这是怎么做到的？

大东：在视频中，他卸下了ThinkPad笔记本的后盖，用SOP8烧录夹将SPI编程器和主板上的雷电控制器针脚连接起来。

攻击实施画面（图片来自网络）

小白：然后呢？

大东：然后他只用了2分钟就重写了雷电控制器的固件，绕过密码禁用了安全性设置。经过这一番操作后，黑客就能通过插入雷电设备改写操作系统，即使是全盘加密的电脑也不在话下。整个过程大约只需要五分钟。

攻击实施画面（图片来自网络）

小白：这个攻击过程也太快了吧？不过该漏洞的执行的必要条件是不是需要攻击者需要物理接触被攻击机？

大东：不错，具备物理访问设备权限的攻击者可以通过他使用的 Thunderspy工具，创建任意的Thunderbolt设备身份。通过克隆用户授权的Thunderbolt设备，获得PCIe连接并进行DMA攻击。

攻击示意图（图片来自网络）

小白：这个漏洞还有其他的特点吗？

大东：该漏洞还允许未经认证的覆盖安全级别配置，包括完全禁用 Thunderbolt安全。有物理访问权限的攻击者能够永久地重新编程受害者的设备，并从此允许任何人绕过各种安全措施直接访问内存。即使设备被限制只通过USB或DisplayPort传输，仍旧可以通过该漏洞恢复Thunderbolt连接并永久禁用Thunderbolt安全保护盒后续的固件更新。

小白：这个攻击实在是太可怕了！我还有个问题，实施这个攻击所需要的成本高吗？

大东：Ruytenberg攻破电脑的设备成本仅400美元，体积还比较大。但是他说，可以把这套设备小型化，让攻击更为隐蔽，成本会增加到1万美元。

三、大话始末

小白：那这个漏洞的影响范围大吗？

大东：2019年2月，安全研究人员就发现了一个与Thunderspy类似的相关入侵事件Thunderclap，配有雷电接口的计算机易受大量直接内存访问(DMA)攻击。Bj?rn Ruytenberg表示该漏洞会影响在2011-2020年之间发售并配备Thunderbolt的设备，2019 年之前生产、出货的配备雷电3的设备都容易受到攻击。

小白：那岂不是有数百万的PC都会受到影响，2019年之后呢？

大东：2019年之后，部分设备提供了内核DMA保护，可以缓解部分（而非全部）Thunderspy漏洞。目前仅惠普和联想的少数高端笔记本设备支持，MacOS笔记本（2011年开始发布的除Retina MacBooks外的所有Apple Mac均提供雷电连接）启动到Bootcamp时，所有的Thunderbolt安全都会被禁用，因此也容易受到影响。

小白：不能通过软件来修复这会造成什么影响？

大东：这可能直接影响未来的USB 4和Thunderbolt 4 等标准，需要对芯片进行重新设计。

小白：难道这个漏洞就无法解决吗？

大东：对于这类攻击，英特尔确实推出了相应的应对措施。他们最近新推出了一套名为 Kernel Direct Memory Access Protection 的 Thunderbolt 安全系统，可以抵御Ruytenberg的Thunderspy 攻击，但问题是该套方案仅对不早于2019年生产的电脑有效。

小白：也就是说，目前市面上有数百万的设备仍存在受到这类攻击的风险，并且无法避免。

大东：不错，而这可能也是微软Surface选择不配备Thunderbolt的原因。

四、小白内心说

小白：针对邪恶女仆攻击，我们要怎么防范呢？

大东：使用高强度密码、在BIOS设置密码防止对BIOS做出更改，仅在硬盘驱动器开启关闭系统以及当有人更改硬件时发出防篡改警报。

小白：谢谢东哥，我知道了。雷电漏洞是一个硬件漏洞，没有办法修补，那我们要怎么才能不被坏人利用这个漏洞而攻击我们的电脑呢？

大东：首先确定你的电脑是否使用了雷电接口，雷电1和2与mini DP公用，雷电3与USB-C公用，而且采用雷电标准的接口还会在旁边加入一个闪电标志。

雷电接口标志（图片来自网络）

小白：要是使用了雷电接口怎么办？

大东：发现自己电脑使用了也不要慌。Ruytenberg在Thunderspy网站上发布了一款名为Spycheck的软件，让用户来验证自己的电脑是否容易受到攻击。我们可以先下载这个软件检验。

小白：如果存在雷电接口，我们要采取什么方式避免攻击呢？

大东：不要慌，可以采取以下方式来避免被攻击：仅连接自己的雷电外围设备；避免在打开电源时使系统无人看管，即使屏幕锁定也是如此；避免将雷电外围设备放在无人看管的情况下；在存储系统和任何雷电设备（包括雷电供电显示器）时，确保适当的物理安全性；避免使用睡眠模式（暂停到内存）。

小白：欸？最好的方式是不是禁用这个设备？

大东：对，最有效的方法就是在计算机的BIOS中禁用计算机的雷电接口。

小白：那我要在重刷电影之前先检查一遍自己的电脑，谢谢东哥！

参考资料：

1. “邪恶女仆”回归：英特尔雷电漏洞将数百万台PC暴露！微软成最大赢家？

https://mp.weixin.qq.com/s/AZ4X_SbM-HYZjIWQPKE4cw

2. Thunderbolt flaw allows access to a PC’s data in minutes

https://www.theverge.com/2020/5/11/21254290/thunderbolt-security-vulnerability-thunderspy-encryption-access-intel-laptops

3. Thunderspy攻击 5分钟内就能解锁Windows PC

https://security.pconline.com.cn/1342/13422784.html

4. 一种容易被人忽视的攻击：邪恶女仆攻击

http://www.safedog.cn/news.html?id=962

来源：中国科学院计算技术研究所 

温馨提示：近期，微信公众号信息流改版。每个用户可以设置 常读订阅号，这些订阅号将以大卡片的形式展示。因此，如果不想错过“中科院之声”的文章，你一定要进行以下操作：进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」