• IT-Karriere:
  • Services:

Thunderclap: Thunderbolt-Anschlüsse erlauben Angriffe auf Arbeitsspeicher

Durch Thunderbolt-Anschlüsse sind in modernen Laptops Angriffe auf den Speicher durch bösartige Hardware mittels DMA möglich. Verhindern soll das eine Technologie namens IOMMU, doch die ist oft abgeschaltet oder lässt sich umgehen.

Artikel veröffentlicht am , Hanno Böck
Thunderclap - zu Deutsch Donnerschlag - nennt sich eine Klasse von Sicherheitslücken, die Zugriffe auf den Arbeitsspeicher von Laptops erlauben.
Thunderclap - zu Deutsch Donnerschlag - nennt sich eine Klasse von Sicherheitslücken, die Zugriffe auf den Arbeitsspeicher von Laptops erlauben. (Bild: Dennisveninga, Wikimedia Commons/CC-BY-SA 4.0)

Unter dem Namen Thunderclap hat ein Forscherteam der Universität Cambridge eine Reihe von Angriffen veröffentlicht. Diese sind eigentlich eine Neuauflage eines bekannten Problems: Hardware kann bei vielen Anschlüssen direkt den Arbeitsspeicher lesen und schreiben. Eigene Speicherbereiche für Geräte - ermöglicht durch eine Technologie namens IOMMU - sollen Angriffe eigentlich verhindern, doch in der Praxis wird das oft nicht gemacht.

Stellenmarkt
  1. SIZ GmbH, Bonn
  2. Interhyp Gruppe, Berlin, München

Bei diesen Angriffsszenarien geht man davon aus, dass ein Angreifer für kurze Zeit Zugriff auf die Hardware hat und in der Lage ist, ein spezielles Gerät anzuschließen, das den Angriff durchführt.

USB-C-Anschlüsse unterstützen gleichzeitig Thunderbolt

Thunderbolt-Anschlüsse sind in vielen modernen Laptops vorhanden, beim aktuellen Standard Thunderbolt 3 fungieren die USB-C-Anschlüsse gleichzeitig als Thunderbolt-Anschlüsse. Doch auch wenn es derselbe Anschluss ist, technisch sind beide Protokolle sehr verschieden. Bei USB gibt es keinen direkten Zugriff auf den Arbeitsspeicher über DMA, bei Thunderbolt aber schon.

Die Forscher arbeiten nach eigenen Angaben schon seit 2016 daran, mit Herstellern von Laptops und Betriebssystemen nach Lösungen zu suchen. Das größte Problem scheint zu sein, dass IOMMU zwar in moderner Hardware unterstützt wird, dass es aber selten aktiv ist.

IOMMU selten aktiviert

Einzig Apples OS X aktiviert IOMMU standardmäßig für externe Hardware. Unter Windows unterstützt nur Windows 10 Enterprise IOMMU, aber aktiv ist es normalerweise nicht. Unter Linux ist IOMMU zwar im Kernel unterstützt, aber in allen gängigen Distributionen deaktiviert.

Doch selbst IOMMU schützt nicht zuverlässig. So gelang es den Forschern auch bei aktivierten IOMMU, teilweise Probleme in Treibern auszunutzen und auf Speicherbereiche zuzugreifen, die eigentlich abgeschottet sein sollen. Unter Linux gelang es auch, durch von der Hardware geschickte Befehle IOMMU wieder zu deaktivieren.

Unter Windows und manchen Linux-Systemen gibt es einen gewissen Schutz vor solchen Angriffen, da Thunderbolt-Geräte zu einem Popup führen und der Anwender den Anschluss zunächst bestätigen muss.

Generell ist das Problem, dass Betriebssysteme offenbar bisher nicht davon ausgehen, dass Hardware bösartig ist. Es ist wohl damit zu rechnen, dass weitere Probleme entdeckt werden und dass Sicherheitsupdates in vielen Treibern und Kernelkomponenten nötig sind.

Wenn man Thunderbolt überhaupt nicht benötigt, kann man es manchmal komplett deaktivieren und sich somit schützen. Ob das geht, hängt allerdings vom BIOS des jeweiligen Geräts ab.

Quellcode für bösartiges Thunderbolt-Gerät veröffentlicht

Neben einem ausführlichen Hintergrundpaper haben die Entdecker von Thunderclap auch Code veröffentlicht, mit dem man selbst Hardware bauen kann, die als bösartiges Thunderbolt-Gerät fungiert.

In der Vergangenheit wurden DMA-Angriffe über Schnittstellen wie Firewire oder PCMCIA durchgeführt, die gibt es in modernen Laptops aber nicht mehr.

IOMMU schützt nicht nur vor Problemen mit bösartiger Hardware, auch Sicherheitslücken in der Hardware selbst können zum Problem werden. So gelang es Google-Forschern in der Vergangenheit, sich in die Firmware von WLAN-Chips zu hacken und damit Smartphones zu übernehmen. Auf den Smartphones war IOMMU ebenfalls zwar möglich, aber vielfach nicht aktiviert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. 1439,90€ (Vergleichspreis: 1530,95€)
  2. täglich neue Deals bei Alternate.de
  3. (u. a. 970 Evo 1 TB für 149,90€, 970 Evo 500 GB für 77,90€)

Nocta 01. Mär 2019

Na ja, was heißt nicht funktionieren. Es muss halt genutzt werden ...

Brotbüchse aus... 28. Feb 2019

gute Frage, nächste Frage! ;-) OpenSuSE Tumbleweed hat dazu gar keine Meinung...

Brotbüchse aus... 28. Feb 2019

Die Thunderbolt Module in die blacklist packen oder handoptimierte udev Regeln sollten...

Bouncy 28. Feb 2019

Das tut er. Solange man die Wahl hat ist das etwas Gutes, oft genug braucht es die...

Keksmonster226 28. Feb 2019

Gibt es vergleichbares bei USB?


Folgen Sie uns
       


Death Stranding - Fazit

Das Actionspiel Death Stranding schickt uns in eine düstere Welt voller Gefahren - und langer Wanderungen. Das aktuelle Werk von Stardesigner Hideo Kojima erscheint für Playstation 4 und Mitte 2020 für Windows-PC.

Death Stranding - Fazit Video aufrufen
Lovot im Hands-on: Knuddeliger geht ein Roboter kaum
Lovot im Hands-on
Knuddeliger geht ein Roboter kaum

CES 2020 Lovot ist ein Kofferwort aus Love und Robot: Der knuffige japanische Roboter soll positive Emotionen auslösen - und tut das auch. Selten haben wir so oft "Ohhhhhhh!" gehört.
Ein Hands on von Tobias Költzsch

  1. Orcam Hear Die Audiobrille für Hörgeschädigte
  2. Schräges von der CES 2020 Die Connected-Kartoffel
  3. Viola angeschaut Cherry präsentiert preiswerten mechanischen Switch

Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
Sicherheitslücken
Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

  1. Datenleck Microsoft-Datenbank mit 250 Millionen Support-Fällen im Netz
  2. Office 365 Microsoft testet Werbebanner in Wordpad für Windows 10
  3. Application Inspector Microsoft legt Werkzeug zur Code-Analyse offen

Amazon, Netflix und Sky: Disney bringt 2020 den großen Umbruch beim Videostreaming
Amazon, Netflix und Sky
Disney bringt 2020 den großen Umbruch beim Videostreaming

In diesem Jahr wird sich der Video-Streaming-Markt in Deutschland stark verändern. Der Start von Disney+ setzt Netflix, Amazon und Sky gehörig unter Druck. Die ganz großen Umwälzungen geschehen vorerst aber woanders.
Eine Analyse von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich

    •  /