Home ConsumentAccessoires voor klanten Let op! Thunderbolt-fouten onthuld: Thunderspy
Accessoires voor klantenConsument

Let op! Thunderbolt-fouten onthuld: Thunderspy

by Juan Mulford
geschreven door Juan Mulford
Thunderbolt gebreken thunderspy

In februari werd een reeks Thunderbolt-beveiligingsfouten ontdekt en gerapporteerd door Björn Ruytenberg, een MSc-student Computer Science and Engineering die gespecialiseerd is in informatiebeveiliging. Ruytenberg, publiceerde een Thunderbolt-kwetsbaarheidsrapport en noemde deze hacktechniek Thunderspy. Thunderspy is een verzameling kwetsbaarheden die alle primaire Thunderbolt-beveiligingsclaims doorbreekt. In wezen maakt Thunderbolt het bespioneren van systemen mogelijk, in de meeste gevallen zonder dat de gebruikers het merken.

In februari werd een reeks Thunderbolt-beveiligingsfouten ontdekt en gerapporteerd door Björn Ruytenberg, een MSc-student Computer Science and Engineering die gespecialiseerd is in informatiebeveiliging. Ruytenberg, publiceerde een Thunderbolt-kwetsbaarheidsrapport en noemde deze hacktechniek Thunderspy. Thunderspy is een verzameling kwetsbaarheden die alle primaire Thunderbolt-beveiligingsclaims doorbreekt. In wezen maakt Thunderbolt het bespioneren van systemen mogelijk, in de meeste gevallen zonder dat de gebruikers het merken.

Volgens het onderzoek kunnen de kwetsbaarheden van Thunderbolt een hacker in staat stellen om binnen enkele minuten in te breken in een computer en toegang te krijgen tot de gegevens. Thunderspy richt zich op apparaten met een Thunderbolt-poort en is van invloed op elke pc die vóór 2019 is geproduceerd (miljoenen pc's). Als computers zo'n poort hebben, kan een aanvaller die er kort fysiek toegang toe krijgt, alle computergegevens lezen en kopiëren, zelfs als de schijf is gecodeerd en de computer is vergrendeld of in de slaapstand staat, zei de onderzoeker.

Thunderbolt gebreken thunderspy

Thunderbolt is een eigen I/O-protocol ontwikkeld door Intel (in samenwerking met Apple) dat de aansluiting van externe randapparatuur op een computer mogelijk maakt en dat snelle gegevensoverdracht mogelijk maakt. Het protocol is opgenomen in verschillende laptops, desktops en andere systemen.

Ruytenberg legt uit dat Thunderbolt een externe verbinding is, waardoor het interne PCI Express (PCIe)-domein van het systeem kan worden blootgesteld aan externe apparaten. “Dit maakt use-cases met hoge bandbreedte en lage latentie mogelijk, zoals externe grafische kaarten. Omdat ze PCIe-gebaseerd zijn, beschikken Thunderbolt-apparaten over Direct Memory Access-enabled I/O, waardoor volledige toegang tot de status van een pc mogelijk is en het vermogen om het hele systeemgeheugen te lezen en te schrijven”. Die mogelijkheid heeft geleid tot onderzoek naar aanvallen die gezamenlijk bekend staan ​​als 'evil maid'. Een evil maid-aanval is een aanval op een onbeheerd apparaat, waarbij een aanvaller met fysieke toegang het op een niet-detecteerbare manier verandert, zodat ze later toegang kunnen krijgen tot het apparaat of de gegevens erop.

“Thunderspy is stealth, wat betekent dat je geen sporen van de aanval kunt vinden. Het vereist uw betrokkenheid niet. zei Ruytenberg. “Thunderspy werkt zelfs als u de beste beveiligingspraktijken volgt door uw computer te vergrendelen of op te schorten wanneer u even weggaat. En als uw systeembeheerder het apparaat heeft ingesteld met Secure Boot, sterke BIOS en wachtwoorden voor besturingssysteemaccounts, en volledige schijfversleuteling heeft ingeschakeld.” Deze kwetsbaarheid betekent dat een aanvaller slechts een paar minuten alleen met de computer nodig heeft om toegang te krijgen tot de gegevens en deze in gevaar te brengen.

In het onderzoek hebben onderzoekers meerdere kwetsbaarheden gevonden en experimenteel bevestigd die verband houden met de beveiliging van het Thunderbolt-protocol. De onderzoekers onthulden de volgende kwetsbaarheden:

  1. Ontoereikende firmware-verificatieschema's.
  2. Zwak authenticatieschema voor apparaten.
  3. Gebruik van niet-geverifieerde metadata van apparaten.
  4. Achterwaartse compatibiliteit.
  5. Gebruik van niet-geverifieerde controllerconfiguraties.
  6. Defecten in de SPI-flashinterface.
  7. Geen Thunderbolt-beveiliging op Boot Camp.

In een video die naar YouTube is geüpload (Thunderspy PoC-demo 1: Windows-pc ontgrendelen in 5 minuten), demonstreren onderzoeken een aanval die misbruik maakt van Thunderspy-kwetsbaarheidsvariant 5: gebruik van niet-geverifieerde controllerconfiguraties.

https://www.youtube.com/watch?v=7uvSZA1F9os&feature=emb_logo

Intel heeft de volgende kwetsbaarheden bevestigd:

  • Alle drie de versies van Thunderbolt worden getroffen door Thunderspy-kwetsbaarheden.
  • Alleen systemen die Kernel DMA Protection leveren, beperken sommige, niet alle, Thunderspy-kwetsbaarheden.
  • Alleen systemen die sinds 2019 zijn verzonden, worden geleverd met Kernel DMA Protection.
  • Afgezien van Kernel DMA Protection, zal Intel geen oplossingen bieden om de Thunderspy-kwetsbaarheden aan te pakken. Daarom zal Intel geen CVE's toewijzen aan de Thunderspy-kwetsbaarheden, of openbare beveiligingsadviezen vrijgeven om het grote publiek te informeren.

De onderzoekers verklaarden dat ondanks hun herhaalde inspanningen, de grondgedachte achter de beslissing van Intel om de Thunderspy-kwetsbaarheden op in-market-systemen niet te verminderen, onbekend blijft. “Gezien de aard van Thunderspy denken we echter dat het redelijk zou zijn om aan te nemen dat deze niet kunnen worden gerepareerd en een herontwerp van silicium vereisen. Inderdaad, voor toekomstige systemen die Thunderbolt-technologie implementeren, heeft Intel verklaard dat ze extra hardwarebeveiligingen zullen opnemen.

Het probleem hiermee is dat Kernel DMA Protection alleen beschikbaar is op een beperkt aantal moderne systemen. Dit probleem is zelfs het ergst voor alle systemen die vóór 2019 zijn uitgebracht en moderne systemen die geen Kernel DMA Protection leveren. Die blijven voor altijd volledig kwetsbaar voor Thunderspy.

Kwetsbare systemen

Alle met Thunderbolt uitgeruste systemen die tussen 2011 en 2020 zijn verzonden, zijn dus kwetsbaar. En sommige systemen die Kernel DMA Protection bieden, die sinds 2019 worden verzonden, zijn gedeeltelijk kwetsbaar. De Thunderspy-kwetsbaarheden kunnen niet in software worden opgelost; daarom zullen ze van invloed zijn op toekomstige standaarden zoals USB 4 en Thunderbolt 4. Ze vereisen een herontwerp van silicium.

Niet alle systemen worden getroffen, bijvoorbeeld systemen die uitsluitend USB-C-poorten bieden. Deze poorten zijn te herkennen aan een USB-symbool in plaats van een bliksemsymbool. Daarom moeten gebruikers de getroffen systemen raadplegen om te controleren of hun systeem Thunderbolt- of USB-C-poorten biedt. Kijk voor de lijst met kwetsbare apparaten en systemen en de aanbevelingen van Ruytenberg op de officiële website van Thunderspy.

Als tijdelijke oplossing worden gebruikers sterk aangemoedigd om te bepalen of ze getroffen zijn door Spycheck te gebruiken, een gratis en open-source tool die door dit initiatief is ontwikkeld en die verifieert of systemen kwetsbaar zijn voor Thunderspy. Als een systeem kwetsbaar blijkt te zijn, zal Spycheck gebruikers naar aanbevelingen leiden over hoe ze hun systeem kunnen helpen beschermen.

Referentie:

https://thunderspy.io/

https://thunderspy.io/assets/reports/breaking-thunderbolt-security-bjorn-ruytenberg-20200417.pd

Discussieer op Reddit

Neem contact op met StorageReview

Nieuwsbrief | YouTube | Podcast iTunes/Spotify | Instagram | Twitter | Facebook | RSS Feed

Juan is een stafschrijver bij StorageReview, met uitgebreide ervaring in het beheer van opslagsystemen voor ondernemingen.

Copyright © 1998-2024 Flying Pig Ventures, LLC Cincinnati, Ohio. Alle rechten voorbehouden.