微軟為何不使用Thunderbolt 3端口呢？這是因為他們認為Thunderbolt端口提供了直接訪問PC內存的不安全訪問，可能會導致各種漏洞和安全威脅。果不其然，近日安全研究人員Björn Ruytenberg 演示了一種能夠輕鬆繞過英特爾Thunderbolt安全功能，允許黑客從鎖定和加密的PC中復制內存或者輕鬆繞過鎖屏的破解方式。

在演示過程中他使用了一項名為Thunderspy的工具，主要利用了以下漏洞進行攻擊

● 不完善的固件驗證方案

● 弱化的設備認證方案

● 使用未經認證的設備元數據

● 利用向後兼容性進行降級攻擊

● 使用未經認證的控制器配置

● SPI閃存接口的缺陷

● Boot Camp上沒有Thunderbolt安全系統

該工具允許有物理訪問權限的攻擊者永久地重新編程你的PC，並從此允許任何人繞過各種安全措施直接訪問內存。Ruytenberg在下面的視頻中演示了這一攻擊。

他的工具允許創建任意的Thunderbolt設備身份，克隆用戶授權的Thunderbolt設備，最後獲得PCIe連接，以執行DMA攻擊。此外，它還允許未經認證的覆蓋安全級別配置，包括完全禁用Thunderbolt安全。

如果系統被限制只通過USB和/或DisplayPort傳輸，還可以恢復Thunderbolt連接，最後還可以永久禁用Thunderbolt安全，並阻止後續的所有固件更新。

Ruytenberg指出，所有在2011-2020年之間出貨、配備Thunderbolt的設備都容易受到攻擊。此外自2019年以來提供Kernel DMA保護的設備，都存在該漏洞。Thunderspy漏洞無法在軟件中修復，會影響到未來的USB 4和Thunderbolt 4等標準，最終需要重新設計芯片。

在較新的PC上（2019年起），英特爾的內核DMA保護提供了一定的保護，但有趣的是，當蘋果 MacOS筆記本啟動到Bootcamp時，所有的Thunderbolt安全都被禁用。

Ruytenberg正在提供一個開源工具Spycheck，可以驗證你的系統是否受到Thunderspy的攻擊。如果發現有漏洞，Spycheck會指導用戶如何幫助保護系統的建議。如果你有一個受影響的系統，Ruytenberg建議:

● 只連接自己的Thunderbolt外設。千萬不要把它們藉給別人。

● 避免讓系統在開機時無人看管，即使是在鎖屏狀態下也不要離開設備。

● 避免讓你的Thunderbolt外設無人看管。

● 在存儲系統和任何Thunderbolt設備時，確保適當的物理安全，包括Thunderbolt供電的顯示器。

● 考慮使用休眠模式（Suspend-to-Disk）或完全關閉系統電源。具體來說，避免使用休眠模式（Suspend-to-RAM）。