• IT-Karriere:
  • Services:

Thunderclap: Thunderbolt-Anschlüsse erlauben Angriffe auf Arbeitsspeicher

Durch Thunderbolt-Anschlüsse sind in modernen Laptops Angriffe auf den Speicher durch bösartige Hardware mittels DMA möglich. Verhindern soll das eine Technologie namens IOMMU, doch die ist oft abgeschaltet oder lässt sich umgehen.

Artikel veröffentlicht am , Hanno Böck
Thunderclap - zu Deutsch Donnerschlag - nennt sich eine Klasse von Sicherheitslücken, die Zugriffe auf den Arbeitsspeicher von Laptops erlauben.
Thunderclap - zu Deutsch Donnerschlag - nennt sich eine Klasse von Sicherheitslücken, die Zugriffe auf den Arbeitsspeicher von Laptops erlauben. (Bild: Dennisveninga, Wikimedia Commons/CC-BY-SA 4.0)

Unter dem Namen Thunderclap hat ein Forscherteam der Universität Cambridge eine Reihe von Angriffen veröffentlicht. Diese sind eigentlich eine Neuauflage eines bekannten Problems: Hardware kann bei vielen Anschlüssen direkt den Arbeitsspeicher lesen und schreiben. Eigene Speicherbereiche für Geräte - ermöglicht durch eine Technologie namens IOMMU - sollen Angriffe eigentlich verhindern, doch in der Praxis wird das oft nicht gemacht.

Stellenmarkt
  1. Technische Hochschule Ingolstadt, Ingolstadt
  2. über duerenhoff GmbH, Raum Rosenheim

Bei diesen Angriffsszenarien geht man davon aus, dass ein Angreifer für kurze Zeit Zugriff auf die Hardware hat und in der Lage ist, ein spezielles Gerät anzuschließen, das den Angriff durchführt.

USB-C-Anschlüsse unterstützen gleichzeitig Thunderbolt

Thunderbolt-Anschlüsse sind in vielen modernen Laptops vorhanden, beim aktuellen Standard Thunderbolt 3 fungieren die USB-C-Anschlüsse gleichzeitig als Thunderbolt-Anschlüsse. Doch auch wenn es derselbe Anschluss ist, technisch sind beide Protokolle sehr verschieden. Bei USB gibt es keinen direkten Zugriff auf den Arbeitsspeicher über DMA, bei Thunderbolt aber schon.

Die Forscher arbeiten nach eigenen Angaben schon seit 2016 daran, mit Herstellern von Laptops und Betriebssystemen nach Lösungen zu suchen. Das größte Problem scheint zu sein, dass IOMMU zwar in moderner Hardware unterstützt wird, dass es aber selten aktiv ist.

IOMMU selten aktiviert

Einzig Apples OS X aktiviert IOMMU standardmäßig für externe Hardware. Unter Windows unterstützt nur Windows 10 Enterprise IOMMU, aber aktiv ist es normalerweise nicht. Unter Linux ist IOMMU zwar im Kernel unterstützt, aber in allen gängigen Distributionen deaktiviert.

Doch selbst IOMMU schützt nicht zuverlässig. So gelang es den Forschern auch bei aktivierten IOMMU, teilweise Probleme in Treibern auszunutzen und auf Speicherbereiche zuzugreifen, die eigentlich abgeschottet sein sollen. Unter Linux gelang es auch, durch von der Hardware geschickte Befehle IOMMU wieder zu deaktivieren.

Unter Windows und manchen Linux-Systemen gibt es einen gewissen Schutz vor solchen Angriffen, da Thunderbolt-Geräte zu einem Popup führen und der Anwender den Anschluss zunächst bestätigen muss.

Generell ist das Problem, dass Betriebssysteme offenbar bisher nicht davon ausgehen, dass Hardware bösartig ist. Es ist wohl damit zu rechnen, dass weitere Probleme entdeckt werden und dass Sicherheitsupdates in vielen Treibern und Kernelkomponenten nötig sind.

Wenn man Thunderbolt überhaupt nicht benötigt, kann man es manchmal komplett deaktivieren und sich somit schützen. Ob das geht, hängt allerdings vom BIOS des jeweiligen Geräts ab.

Quellcode für bösartiges Thunderbolt-Gerät veröffentlicht

Neben einem ausführlichen Hintergrundpaper haben die Entdecker von Thunderclap auch Code veröffentlicht, mit dem man selbst Hardware bauen kann, die als bösartiges Thunderbolt-Gerät fungiert.

In der Vergangenheit wurden DMA-Angriffe über Schnittstellen wie Firewire oder PCMCIA durchgeführt, die gibt es in modernen Laptops aber nicht mehr.

IOMMU schützt nicht nur vor Problemen mit bösartiger Hardware, auch Sicherheitslücken in der Hardware selbst können zum Problem werden. So gelang es Google-Forschern in der Vergangenheit, sich in die Firmware von WLAN-Chips zu hacken und damit Smartphones zu übernehmen. Auf den Smartphones war IOMMU ebenfalls zwar möglich, aber vielfach nicht aktiviert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-67%) 6,66€
  2. (-73%) 15,99€
  3. (-53%) 27,99€

Nocta 01. Mär 2019

Na ja, was heißt nicht funktionieren. Es muss halt genutzt werden ...

Brotbüchse aus... 28. Feb 2019

gute Frage, nächste Frage! ;-) OpenSuSE Tumbleweed hat dazu gar keine Meinung...

Brotbüchse aus... 28. Feb 2019

Die Thunderbolt Module in die blacklist packen oder handoptimierte udev Regeln sollten...

Bouncy 28. Feb 2019

Das tut er. Solange man die Wahl hat ist das etwas Gutes, oft genug braucht es die...

Keksmonster226 28. Feb 2019

Gibt es vergleichbares bei USB?


Folgen Sie uns
       


Disney Plus - Test

Der Streamingdienst Disney Plus wurde am 24. März 2020 endlich auch in Deutschland gestartet. Golem.de hat die Benutzeroberfläche einem Test unterzogen und auch einen Blick auf das Film- und Serienangebot des Netflix-Mitbewerbers geworfen.

Disney Plus - Test Video aufrufen
Star Wars The Clone Wars: Das beste Star Wars seit der Ur-Trilogie
Star Wars The Clone Wars
Das beste Star Wars seit der Ur-Trilogie

Die Animationsserie Star Wars: The Clone Wars schafft es, selbst größte Prequel-Hasser zu berühren - mit tollen neuen Charakteren.
Eine Rezension von Oliver Nickel

  1. Star Wars Darth Vader und mehr Machtspiele
  2. Star Wars Taika Waititi für nächsten Star-Wars-Film verantwortlich
  3. Star Wars Disney erntet veritablen Shitstorm mit Star-Wars-Hashtag

Realme 6 und 6 Pro im Test: Starke Konkurrenz für Xiaomi
Realme 6 und 6 Pro im Test
Starke Konkurrenz für Xiaomi

Das Realme 6 und 6 Pro bieten eine starke Ausstattung für relativ wenig Geld - und gehören damit aktuell zu den interessantesten Mittelklasse-Smartphones.
Ein Test von Tobias Költzsch


    Wirtschaftsminister: Landesdatenschützer sollen Kontrolle über Firmen verlieren
    Wirtschaftsminister
    Landesdatenschützer sollen Kontrolle über Firmen verlieren

    Die Wirtschaftsminister diskutieren darüber, ob sie den Datenschutzbehörden der Länder die Aufsicht über Unternehmen entziehen.
    Ein Bericht von Christiane Schulzki-Haddouti

    1. Überwachung Berlin prüft Logistik-Software von Zalando
    2. Investitionsbank Berlin Antragsunterlagen für Corona-Hilfen falsch zugestellt
    3. Echo und Co. Armband stört Mikrofone von smarten Lautsprechern

      •  /