Bereits im Februar wurden eine Reihe von Sicherheitslücken bei Thunderbolt entdeckt und von Björn Ruytenberg, einem MSc-Studenten der Informatik und Ingenieurwissenschaften mit Spezialisierung auf Informationssicherheit, gemeldet. Ruytenberg hat einen Thunderbolt-Schwachstellenbericht veröffentlicht und diese Hacking-Technik als Thunderspy bezeichnet. Thunderspy ist eine Sammlung von Schwachstellen, die alle primären Sicherheitsansprüche von Thunderbolt zunichte machen. Grundsätzlich ermöglicht Thunderbolt in den meisten Fällen das Ausspionieren von Systemen, ohne dass der Benutzer es merkt.
Bereits im Februar wurden eine Reihe von Sicherheitslücken bei Thunderbolt entdeckt und von Björn Ruytenberg, einem MSc-Studenten der Informatik und Ingenieurwissenschaften mit Spezialisierung auf Informationssicherheit, gemeldet. Ruytenberg hat einen Thunderbolt-Schwachstellenbericht veröffentlicht und diese Hacking-Technik als Thunderspy bezeichnet. Thunderspy ist eine Sammlung von Schwachstellen, die alle primären Sicherheitsansprüche von Thunderbolt zunichte machen. Grundsätzlich ermöglicht Thunderbolt in den meisten Fällen das Ausspionieren von Systemen, ohne dass der Benutzer es merkt.
Den Untersuchungen zufolge könnten die Schwachstellen von Thunderbolt es einem Hacker ermöglichen, innerhalb weniger Minuten in einen Computer einzudringen und auf dessen Daten zuzugreifen. Thunderspy zielt auf Geräte mit einem Thunderbolt-Anschluss ab und betrifft alle PCs, die vor 2019 hergestellt wurden (Millionen von PCs). Wenn Computer über einen solchen Anschluss verfügen, kann ein Angreifer, der kurzzeitig physischen Zugriff darauf erhält, alle Daten des Computers lesen und kopieren, selbst wenn das Laufwerk verschlüsselt und der Computer gesperrt oder in den Ruhezustand versetzt ist, sagte der Forscher.
Thunderbolt ist ein von Intel (in Zusammenarbeit mit Apple) entwickeltes proprietäres I/O-Protokoll, das den Anschluss externer Peripheriegeräte an einen Computer ermöglicht und schnelle Datenübertragungen ermöglicht. Das Protokoll ist in mehreren Laptops, Desktops und anderen Systemen enthalten.
Ruytenberg erklärt, dass Thunderbolt, da es sich um eine externe Verbindung handelt, es ermöglicht, die interne PCI Express (PCIe)-Domäne des Systems für externe Geräte verfügbar zu machen. „Dies ermöglicht Anwendungsfälle mit hoher Bandbreite und geringer Latenz, wie beispielsweise externe Grafikkarten. Da Thunderbolt-Geräte PCIe-basiert sind, verfügen sie über E/A mit direktem Speicherzugriff, was vollständigen Zugriff auf den Zustand eines PCs und die Möglichkeit zum Lesen und Schreiben des gesamten Systemspeichers ermöglicht.“ Diese Fähigkeit hat zur Erforschung von Angriffen geführt, die allgemein als „böse Magd“ bekannt sind. Bei einem Evil-Maid-Angriff handelt es sich um einen Angriff auf ein unbeaufsichtigtes Gerät, bei dem ein Angreifer mit physischem Zugriff es auf eine nicht erkennbare Weise verändert, sodass er später auf das Gerät oder die darauf befindlichen Daten zugreifen kann.
„Thunderspy ist heimlich, das heißt, man kann keine Spuren des Angriffs finden. Es ist nicht Ihr Engagement erforderlich.“ sagte Ruytenberg. „Thunderspy funktioniert auch dann, wenn Sie die besten Sicherheitspraktiken befolgen, indem Sie Ihren Computer sperren oder in den Ruhezustand versetzen, wenn Sie ihn kurzzeitig verlassen. Und wenn Ihr Systemadministrator das Gerät mit Secure Boot, sicheren BIOS- und Betriebssystem-Kontokennwörtern eingerichtet und die vollständige Festplattenverschlüsselung aktiviert hat.“ Diese Schwachstelle bedeutet, dass ein Angreifer nur wenige Minuten alleine mit dem Computer benötigt, um Zugriff auf die Daten zu erhalten und diese zu kompromittieren.
In der Studie haben Forscher mehrere Schwachstellen im Zusammenhang mit der Sicherheit des Thunderbolt-Protokolls gefunden und experimentell bestätigt. Die Forscher haben die folgenden Schwachstellen offengelegt:
- Unzureichende Firmware-Überprüfungsschemata.
- Schwaches Geräteauthentifizierungsschema.
- Verwendung nicht authentifizierter Gerätemetadaten.
- Rückwärtskompatibilität.
- Verwendung nicht authentifizierter Controller-Konfigurationen.
- Mängel der SPI-Flash-Schnittstelle.
- Keine Thunderbolt-Sicherheit im Boot Camp.
In einem auf YouTube hochgeladenen Video (Thunderspy PoC-Demo 1: Entsperren eines Windows-PCs in 5 Minuten) demonstrieren Untersuchungen einen Angriff, der die Thunderspy-Schwachstelle Variante 5 ausnutzt: Verwendung nicht authentifizierter Controller-Konfigurationen.
https://www.youtube.com/watch?v=7uvSZA1F9os&feature=emb_logo
Intel hat die folgenden Schwachstellen bestätigt:
- Alle drei Versionen von Thunderbolt sind von Thunderspy-Schwachstellen betroffen.
- Nur Systeme mit Kernel-DMA-Schutz entschärfen einige, aber nicht alle, der Thunderspy-Schwachstellen.
- Nur Systeme, die seit 2019 ausgeliefert werden, sind mit Kernel-DMA-Schutz ausgestattet.
- Über den Kernel-DMA-Schutz hinaus wird Intel keine Abhilfemaßnahmen zur Behebung der Thunderspy-Schwachstellen bereitstellen. Daher wird Intel den Thunderspy-Schwachstellen keine CVEs zuweisen oder öffentliche Sicherheitshinweise veröffentlichen, um die breite Öffentlichkeit zu informieren.
Die Forscher gaben an, dass trotz ihrer wiederholten Bemühungen die Gründe für Intels Entscheidung, die Thunderspy-Schwachstellen auf auf dem Markt befindlichen Systemen nicht zu beheben, weiterhin unbekannt sind. „Angesichts der Natur von Thunderspy glauben wir jedoch, dass es vernünftig wäre anzunehmen, dass diese nicht behoben werden können und eine Neugestaltung des Siliziums erfordern. Tatsächlich hat Intel angekündigt, für zukünftige Systeme, die die Thunderbolt-Technologie implementieren, zusätzliche Hardware-Schutzmaßnahmen zu integrieren.“
Das Problem dabei ist, dass der Kernel-DMA-Schutz nur auf einer begrenzten Anzahl moderner Systeme verfügbar ist. Dieses Problem ist bei allen Systemen, die vor 2019 veröffentlicht wurden, und bei modernen Systemen, die keinen Kernel-DMA-Schutz bieten, noch schlimmer. Diese bleiben für immer vollständig anfällig für Thunderspy.
Anfällige Systeme
Daher sind alle mit Thunderbolt ausgestatteten Systeme, die zwischen 2011 und 2020 ausgeliefert wurden, anfällig. Und einige Systeme, die seit 2019 Kernel-DMA-Schutz bieten, sind teilweise anfällig. Die Thunderspy-Schwachstellen können nicht in der Software behoben werden; Daher werden sie Auswirkungen auf zukünftige Standards wie USB 4 und Thunderbolt 4 haben. Sie erfordern eine Neugestaltung des Siliziums.
Nicht alle Systeme sind betroffen, beispielsweise Systeme, die ausschließlich USB-C-Anschlüsse bereitstellen. Diese Anschlüsse sind durch ein USB-Symbol und nicht durch ein Blitzsymbol gekennzeichnet. Daher sollten Benutzer auf den betroffenen Systemen nachsehen, ob ihr System über Thunderbolt- oder USB-C-Anschlüsse verfügt. Die Liste der anfälligen Geräte und Systeme sowie die Empfehlungen von Ruytenberg finden Sie auf der offiziellen Thunderspy-Website.
Um dieses Problem zu umgehen, wird Benutzern dringend empfohlen, mithilfe von Spycheck, einem kostenlosen Open-Source-Tool, das von dieser Initiative entwickelt wurde und überprüft, ob Systeme für Thunderspy anfällig sind, festzustellen, ob sie betroffen sind. Wenn sich herausstellt, dass ein System angreifbar ist, leitet Spycheck Benutzer zu Empfehlungen, wie sie ihr System schützen können.
Referenz:
https://thunderspy.io/assets/reports/breaking-thunderbolt-security-bjorn-ruytenberg-20200417.pd
Beteiligen Sie sich an StorageReview
Newsletter | YouTube | Podcast iTunes/Spotify | Instagram | Twitter | Facebook | RSS Feed
