• IT-Karriere:
  • Services:

Thunderspy: Nicht patchbare Sicherheitslücken in Thunderbolt

Mit einem Schraubendreher und einem SPI-Programmer lassen sich zentrale Sicherheitsfunktionen von Thunderbolt deaktivieren.

Artikel veröffentlicht am ,
Thunderspy: Sicherheitslücken in Thunderbolt mit eigenem Logo
Thunderspy: Sicherheitslücken in Thunderbolt mit eigenem Logo (Bild: Björn Ruytenberg/CC-BY 4.0)

Unter dem Namen Thunderspy hat der Sicherheitsforscher Björn Ruytenberg eine Reihe von Sicherheitslücken in Intels Thunderbolt-Schnittstelle veröffentlicht. Ruytenberg ist es unter anderem gelungen, die Firmware der Thunderbolt-Chips von Intel auszutauschen und damit die Sicherheitsfunktionen von Thunderbolt zu deaktivieren. Anschließend können unauthentifizierte Thunderbolt-Geräte auf den Arbeitsspeicher zugreifen und beispielsweise die Festplattenverschlüsselung umgehen. Betroffen sind nahezu alle Rechner mit einer Thunderbolt-Schnittstelle. Die Sicherheitslücken lassen sich nicht durch ein Softwareupdate beheben.

Stellenmarkt
  1. cbs Corporate Business Solutions Unternehmensberatung GmbH, verschiedene Standorte
  2. noris network AG, Nürnberg, Aschheim (bei München), München, Berlin (Home-Office möglich)

Die Firmware der Thunderbolt-Chips lässt sich in wenigen Minuten austauschen, erklärt Ruytenberg. Ganz trivial sind sie allerdings nicht: Der Angreifer muss den Laptop oder Rechner aufschrauben, den Thunderbolt-Controller identifizieren und mit einem SPI-Flash-Programmer eine neue Firmware auf den Chip flashen. Eigentlich authentifiziert Intels Thunderbolt-Chip die Firmware bei einem Update, dies geschieht jedoch nicht, wenn diese direkt auf den Chip geschrieben wird.

Mit der neu eingespielten Firmware lassen sich die Sicherheitslevel herabsetzen, die Intel mit Thunderbolt 2 als Reaktion auf die Sicherheitsprobleme von Thunderbolt eingeführt hatte. Diese sollen verhindern, dass jedes Thunderbolt-Gerät auf den Arbeitsspeicher eines Rechners zugreifen und so weitreichende Informationen auslesen kann, bis hin zum Schlüssel der Festplattenverschlüsselung.

Kernel DMA Protection oder Thunderbolt deaktivieren hilft

Nutzer, die Thunderbolt ohnehin nicht verwenden, können dies im UEFI/Bios deaktivieren. Können die Ports nicht deaktiviert werden, rät der Sicherheitsforscher dazu, nur eigene Thunderbolt-Geräte anzuschließen und den eingeschalteten Rechner nicht aus den Augen zu lassen. Zu Ähnlichem rät auch Intel in einem Blogeintrag: "Für alle Systeme empfehlen wir die Einhaltung von Standard-Sicherheitspraktiken, einschließlich der Verwendung nur vertrauenswürdiger Peripheriegeräte und der Verhinderung unbefugten physischen Zugriffs auf Computer."

Mit Kernel DMA Protection wurde zudem ein Schutz gegen derlei Angriffe entwickelt, betonen Intel und Ruytenberg. Dieser ist allerdings nur in wenigen Rechnern, die seit 2019 veröffentlicht wurden, enthalten. "Wenn die Schutzfunktion aktiviert ist, können Thunderbolt-Geräte nur noch auf eigene Speicherbereiche zugreifen, die per IOMMU gesteuert werden", erklärt Ruytenberg. Die Aktivierung der Kernel DMA Protection führe allerdings zu Kompatibilitätsproblemen mit einer Reihe von Thunderbolt-Geräten und schütze nicht vor Angriffen auf dem Niveau von BadUSB, sagt der Sicherheitsforscher.

Weitere Thunderbolt-Angriffe

Eine weitere Schutzfunktion von Thunderbolt konnte der Sicherheitsforscher einfach aushebeln: So können Nutzer nur von ihnen autorisierte Thunderbolt-Geräte an ihrem System zulassen. Ruytenberg stellte jedoch fest, dass die Authentifizierung der Geräte am System nicht kryptographisch geschützt war. Entsprechend konnte er ein bereits vom Nutzer autorisiertes Gerät einfach klonen und mit diesem Zugriff auf den Rechner erlangen.

Zudem konnte er die Rückwärtskompatibilität von Thunderbolt 3 zu Thunderbolt 2 ausnutzen und auf diese Weise alte Sicherheitslücken weiterhin ausnutzen. Die Sicherheitslücken wurden Intel bereits im Februar gemeldet. Intel möchte jedoch keine weiteren Schritte unternehmen und verweist auf die 2019 eingeführte Kernel DMA Protection.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 13,99€
  2. (u. a. Metrox: Exodus für 15,99€, Ancestors Legacy für 7,99€, Code Vein für 17,99€, Fade...
  3. 4,69€
  4. 14,49€

cry88 12. Mai 2020

Eine präparierte Grafikkarte oder ein präparierter Arbeitsspeicher und schon kannst du...

Vögelchen 11. Mai 2020

Im Beitrag wurde erst beschrieben, dass ein Angreifer das Notebook öffnen und aufwendig...

cakruege 11. Mai 2020

Bitlocker mit TPM-Auth, d.h. automatisches Booten bis zum Logonprompt ist damit absolut...

Neuro-Chef 11. Mai 2020

Aber damit ist die Lücke im grunde nur für staatliche Akteure (Überwachung durch...

Lasse Bierstrom 11. Mai 2020

Das Notebook kann abgefangen werden, und ist fortan manipulierten "USB" Sticks...


Folgen Sie uns
       


Geforce RTX 3070 - Test

Die Grafikkarte liegt etwa gleichauf mit der Geforce RTX 2080 Ti.

Geforce RTX 3070 - Test Video aufrufen
    •  /