Thunderclap: Thunderbolt-Anschlüsse erlauben Angriffe auf Arbeitsspeicher

Durch Thunderbolt-Anschlüsse sind in modernen Laptops Angriffe auf den Speicher durch bösartige Hardware mittels DMA möglich. Verhindern soll das eine Technologie namens IOMMU, doch die ist oft abgeschaltet oder lässt sich umgehen.

Artikel veröffentlicht am , Hanno Böck
Thunderclap - zu Deutsch Donnerschlag - nennt sich eine Klasse von Sicherheitslücken, die Zugriffe auf den Arbeitsspeicher von Laptops erlauben.
Thunderclap - zu Deutsch Donnerschlag - nennt sich eine Klasse von Sicherheitslücken, die Zugriffe auf den Arbeitsspeicher von Laptops erlauben. (Bild: Dennisveninga, Wikimedia Commons/CC-BY-SA 4.0)

Unter dem Namen Thunderclap hat ein Forscherteam der Universität Cambridge eine Reihe von Angriffen veröffentlicht. Diese sind eigentlich eine Neuauflage eines bekannten Problems: Hardware kann bei vielen Anschlüssen direkt den Arbeitsspeicher lesen und schreiben. Eigene Speicherbereiche für Geräte - ermöglicht durch eine Technologie namens IOMMU - sollen Angriffe eigentlich verhindern, doch in der Praxis wird das oft nicht gemacht.

Stellenmarkt
  1. Systemadministratorin / Systemadministrator
    Kreis Segeberg, Hamburg
  2. Administrator ServiceNow (m/w/d)
    operational services GmbH & Co. KG, Berlin, Hamburg, Frankfurt am Main, München
Detailsuche

Bei diesen Angriffsszenarien geht man davon aus, dass ein Angreifer für kurze Zeit Zugriff auf die Hardware hat und in der Lage ist, ein spezielles Gerät anzuschließen, das den Angriff durchführt.

USB-C-Anschlüsse unterstützen gleichzeitig Thunderbolt

Thunderbolt-Anschlüsse sind in vielen modernen Laptops vorhanden, beim aktuellen Standard Thunderbolt 3 fungieren die USB-C-Anschlüsse gleichzeitig als Thunderbolt-Anschlüsse. Doch auch wenn es derselbe Anschluss ist, technisch sind beide Protokolle sehr verschieden. Bei USB gibt es keinen direkten Zugriff auf den Arbeitsspeicher über DMA, bei Thunderbolt aber schon.

Die Forscher arbeiten nach eigenen Angaben schon seit 2016 daran, mit Herstellern von Laptops und Betriebssystemen nach Lösungen zu suchen. Das größte Problem scheint zu sein, dass IOMMU zwar in moderner Hardware unterstützt wird, dass es aber selten aktiv ist.

IOMMU selten aktiviert

Golem Akademie
  1. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
  2. 1:1-Videocoaching mit Golem Shifoo
    Berufliche Herausforderungen meistern
  3. Online-Sprachkurse mit Golem & Gymglish
    Kurze Lektionen, die funktionieren
Weitere IT-Trainings

Einzig Apples OS X aktiviert IOMMU standardmäßig für externe Hardware. Unter Windows unterstützt nur Windows 10 Enterprise IOMMU, aber aktiv ist es normalerweise nicht. Unter Linux ist IOMMU zwar im Kernel unterstützt, aber in allen gängigen Distributionen deaktiviert.

Doch selbst IOMMU schützt nicht zuverlässig. So gelang es den Forschern auch bei aktivierten IOMMU, teilweise Probleme in Treibern auszunutzen und auf Speicherbereiche zuzugreifen, die eigentlich abgeschottet sein sollen. Unter Linux gelang es auch, durch von der Hardware geschickte Befehle IOMMU wieder zu deaktivieren.

Unter Windows und manchen Linux-Systemen gibt es einen gewissen Schutz vor solchen Angriffen, da Thunderbolt-Geräte zu einem Popup führen und der Anwender den Anschluss zunächst bestätigen muss.

Generell ist das Problem, dass Betriebssysteme offenbar bisher nicht davon ausgehen, dass Hardware bösartig ist. Es ist wohl damit zu rechnen, dass weitere Probleme entdeckt werden und dass Sicherheitsupdates in vielen Treibern und Kernelkomponenten nötig sind.

Wenn man Thunderbolt überhaupt nicht benötigt, kann man es manchmal komplett deaktivieren und sich somit schützen. Ob das geht, hängt allerdings vom BIOS des jeweiligen Geräts ab.

Quellcode für bösartiges Thunderbolt-Gerät veröffentlicht

Neben einem ausführlichen Hintergrundpaper haben die Entdecker von Thunderclap auch Code veröffentlicht, mit dem man selbst Hardware bauen kann, die als bösartiges Thunderbolt-Gerät fungiert.

In der Vergangenheit wurden DMA-Angriffe über Schnittstellen wie Firewire oder PCMCIA durchgeführt, die gibt es in modernen Laptops aber nicht mehr.

IOMMU schützt nicht nur vor Problemen mit bösartiger Hardware, auch Sicherheitslücken in der Hardware selbst können zum Problem werden. So gelang es Google-Forschern in der Vergangenheit, sich in die Firmware von WLAN-Chips zu hacken und damit Smartphones zu übernehmen. Auf den Smartphones war IOMMU ebenfalls zwar möglich, aber vielfach nicht aktiviert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Akkutechnik
CATL stellt erste Natrium-Ionen-Akkus für Autos vor

160 Wh pro Kilogramm. 80 Prozent Akkuladung in 15 Minuten. 90 Prozent Kapazität bei minus 20 Grad Celsius. CATL startet eine neue Ära der Akku-Technik.
Eine Analyse von Frank Wunderlich-Pfeiffer

Akkutechnik: CATL stellt erste Natrium-Ionen-Akkus für Autos vor
Artikel
  1. EcommerceBytes: Ex-Ebay-Manager muss wegen Kakerlaken-Paketen ins Gefängnis
    EcommerceBytes
    Ex-Ebay-Manager muss wegen Kakerlaken-Paketen ins Gefängnis

    Ein ehemaliger Ebay-Manager hat Ekelpakete an Journalisten verschickt. Er wurde zu einer Gefängnisstrafe verurteilt.

  2. Flexibles Arbeiten: Apple schließt interne Slack-Kanäle zu Homeoffice
    Flexibles Arbeiten
    Apple schließt interne Slack-Kanäle zu Homeoffice

    Apple geht gegen die Bewegung vor, die mehr Homeoffice fordert und schließt interne Slack-Kanäle, über die sich Mitarbeiter austauschten.

  3. Software-Update: Teslas bekommen Disney+ und Waschstraßen-Modus
    Software-Update
    Teslas bekommen Disney+ und Waschstraßen-Modus

    Das neue Tesla-Softwareupdate verschafft den Elektroautos Zugang zu Disney+ sowie einen Autowaschmodus und eine Option für selbstabblendende Spiegel.

Nocta 01. Mär 2019

Na ja, was heißt nicht funktionieren. Es muss halt genutzt werden ...

Brotbüchse aus... 28. Feb 2019

gute Frage, nächste Frage! ;-) OpenSuSE Tumbleweed hat dazu gar keine Meinung...

Brotbüchse aus... 28. Feb 2019

Die Thunderbolt Module in die blacklist packen oder handoptimierte udev Regeln sollten...

Bouncy 28. Feb 2019

Das tut er. Solange man die Wahl hat ist das etwas Gutes, oft genug braucht es die...

Keksmonster226 28. Feb 2019

Gibt es vergleichbares bei USB?



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Bosch Professional günstiger • Asus TUF Gaming 23,8" FHD 144Hz 169€ • Acer-Chromebooks zu Bestpreisen (u. a. 14" 64GB 229€) • Alternate (u. a. Deepcool-Gehäuselüfter ab 24,99€) • EA-Spiele (PC) günstiger (u. a. Battlefield 5 5,99€) • Philips-Fernseher 65" Ambilight 679€ [Werbung]
    •  /