dma

Nouvelles Failles Permettent le Retour des Attaques DMA

Des chercheurs en sécurité ont découvert de nouvelles vulnérabilités permettant des attaques DMA. Ces failles affectent les systèmes d’exploitation les plus populaires, y compris Microsoft Windows, Apple macOS, Linux et FreeBSD. Ces vulnérabilités permettent aux hackers de contourner les mécanismes de protection contre les attaques DMA.

Connues depuis des années, les attaques Direct memory access (DMA) permettent de compromettre un système ciblé en quelques secondes. Il faut juste brancher un appareil programmé avec du code malveillant, cela peut être une carte réseau externe, une souris, un clavier, une imprimante, un appareil de stockage ou une carte graphique. Il suffit juste que le branchement soit fait sur le port Thunderbolt 3 connu aussi sous le nom de port USB-C.

Les attaques DMA sont possibles car le port Thunderbolt permet aux périphériques connectés de contourner la sécurité du système d’exploitation et de lire/écrire directement sur la mémoire du système. Cette mémoire contient des informations sensibles comme vos mots de passe, identifiants, fichiers privés et votre historique de navigation.

Cela veut donc dire qu’il suffit de brancher un appareil infecté pour pouvoir manipuler le contenu de la mémoire et exécuter du code arbitraire avec des privilèges élevés.

Pour bloquer les attaques DMA, la plupart des systèmes d’exploitation utilise la technique de protection Input/Output Memory Management Unit (IOMMU) pour contrôler l’accès à la mémoire des périphériques.

Les Failles ThunderClap Contournent IOMMU pour Ré-Activer les Attaques DMA

Une équipe de chercheurs en cybersécurité de l’université de Cambridge, de l’université de Rice et de SRI International ont découvert plusieurs vulnérabilités qui permettent de contourner la protection IOMMU.

En copiant le fonctionnement d’un périphérique normal, il est possible de pousser le système à donner l’accès à des régions sensibles de la mémoire.

Dans un papier de recherche [PDF] publié plus tôt cette semaine, les chercheurs ont donné des informations techniques sur les nouvelles vulnérabilités qu’ils prétendent avoir découvert. Ils ont apparemment construit et programmé un appareil qui se nomme Thunderclap et ont partagé le code source.

thunderbolt dma attack
thunderbolt dma attack

“Nous utilisons les vulnérabilités dans l’utilisation de IOMMU pour compromettre un système ciblé via DMA, même en présence d’un IOMMU activé et configuré pour défendre un système contre les attaques DMA,” ont expliqué les chercheurs.

Les chercheurs ont aussi ajouté que IOMMU n’est pas activé par défaut sur la plupart des systèmes d’exploitation et que avec l’expansion de l’USB-C, la surface d’attaque DMA a énormément augmenté.

thunderbolt dma attack

“Tout les PC d’Apple produits depuis 2011 sont vulnérables, la seule exception est le MacBook 12 pouces. Beaucoup de PC conçu pour utiliser Windows ou Linux et produit depuis 2016 sont aussi affectés – vérifiez si votre ordinateur portable supporte Thunderbolt.”

Comment vous protéger contre les vulnérabilités Thunderclap

Les chercheurs ont partagé leurs trouvailles avec tout les producteurs de système d’exploitation et de hardware qui sont concernés. La plupart d’entre eux ont déjà déployé des solutions de mitigations.

“Pour macOS 10.12.4 et les versions plus récentes, Apple a adressé la vulnérabilité concernant la carte réseau que nous avons utilisé pour obtenir un root shell,” ont déclaré les chercheurs. “Récemment, Intel a appliqué des patchs sur la version 5.0 du kernel Linux.”

“FreeBSD a indiqué que les périphériques malveillants ne faisaient pas parti de leur modèle de menace.”

Bien que tout ces patchs ne peuvent pas bloquer entièrement les attaques DMA, les utilisateurs ont été conseillé d’installer les mises à jour de sécurité disponibles pour réduire la surface d’attaque. Selon les chercheurs, la meilleure façon de se protéger est de désactiver les ports Thunderbolt sur votre machine.

thunderbolt dma attack

Les chercheurs ont aussi développé une preuve de concept pour montrer comment utiliser ces vulnérabilités sur des systèmes ciblés mais ils ont décidé de ne pas le rendre public pour l’instant.

Si cet article vous a plu, jetez un œil à notre précédent article.

Poster un Commentaire

avatar
  S’abonner  
Notifier de