Thunderspy: Nicht patchbare Sicherheitslücken in Thunderbolt

Mit einem Schraubendreher und einem SPI-Programmer lassen sich zentrale Sicherheitsfunktionen von Thunderbolt deaktivieren.

Artikel veröffentlicht am ,
Thunderspy: Sicherheitslücken in Thunderbolt mit eigenem Logo
Thunderspy: Sicherheitslücken in Thunderbolt mit eigenem Logo (Bild: Björn Ruytenberg/CC-BY 4.0)

Unter dem Namen Thunderspy hat der Sicherheitsforscher Björn Ruytenberg eine Reihe von Sicherheitslücken in Intels Thunderbolt-Schnittstelle veröffentlicht. Ruytenberg ist es unter anderem gelungen, die Firmware der Thunderbolt-Chips von Intel auszutauschen und damit die Sicherheitsfunktionen von Thunderbolt zu deaktivieren. Anschließend können unauthentifizierte Thunderbolt-Geräte auf den Arbeitsspeicher zugreifen und beispielsweise die Festplattenverschlüsselung umgehen. Betroffen sind nahezu alle Rechner mit einer Thunderbolt-Schnittstelle. Die Sicherheitslücken lassen sich nicht durch ein Softwareupdate beheben.

Stellenmarkt
  1. Leitung IT-Management (w/m/d)
    Klinikum Altmühlfranken, Gunzenhausen
  2. Leiter IT Produkte, Chief Product Officer (m/w/d)
    Optica Abrechnungszentrum Dr. Güldener GmbH, Stuttgart
Detailsuche

Die Firmware der Thunderbolt-Chips lässt sich in wenigen Minuten austauschen, erklärt Ruytenberg. Ganz trivial sind sie allerdings nicht: Der Angreifer muss den Laptop oder Rechner aufschrauben, den Thunderbolt-Controller identifizieren und mit einem SPI-Flash-Programmer eine neue Firmware auf den Chip flashen. Eigentlich authentifiziert Intels Thunderbolt-Chip die Firmware bei einem Update, dies geschieht jedoch nicht, wenn diese direkt auf den Chip geschrieben wird.

Mit der neu eingespielten Firmware lassen sich die Sicherheitslevel herabsetzen, die Intel mit Thunderbolt 2 als Reaktion auf die Sicherheitsprobleme von Thunderbolt eingeführt hatte. Diese sollen verhindern, dass jedes Thunderbolt-Gerät auf den Arbeitsspeicher eines Rechners zugreifen und so weitreichende Informationen auslesen kann, bis hin zum Schlüssel der Festplattenverschlüsselung.

Kernel DMA Protection oder Thunderbolt deaktivieren hilft

Nutzer, die Thunderbolt ohnehin nicht verwenden, können dies im UEFI/Bios deaktivieren. Können die Ports nicht deaktiviert werden, rät der Sicherheitsforscher dazu, nur eigene Thunderbolt-Geräte anzuschließen und den eingeschalteten Rechner nicht aus den Augen zu lassen. Zu Ähnlichem rät auch Intel in einem Blogeintrag: "Für alle Systeme empfehlen wir die Einhaltung von Standard-Sicherheitspraktiken, einschließlich der Verwendung nur vertrauenswürdiger Peripheriegeräte und der Verhinderung unbefugten physischen Zugriffs auf Computer."

Golem Akademie
  1. Unity Basiswissen: virtueller Drei-Tage-Workshop
    7.–9. Februar 2022, Virtuell
  2. Einführung in Unity: virtueller Ein-Tages-Workshop
    17. Februar 2022, Virtuell
Weitere IT-Trainings

Mit Kernel DMA Protection wurde zudem ein Schutz gegen derlei Angriffe entwickelt, betonen Intel und Ruytenberg. Dieser ist allerdings nur in wenigen Rechnern, die seit 2019 veröffentlicht wurden, enthalten. "Wenn die Schutzfunktion aktiviert ist, können Thunderbolt-Geräte nur noch auf eigene Speicherbereiche zugreifen, die per IOMMU gesteuert werden", erklärt Ruytenberg. Die Aktivierung der Kernel DMA Protection führe allerdings zu Kompatibilitätsproblemen mit einer Reihe von Thunderbolt-Geräten und schütze nicht vor Angriffen auf dem Niveau von BadUSB, sagt der Sicherheitsforscher.

Weitere Thunderbolt-Angriffe

Eine weitere Schutzfunktion von Thunderbolt konnte der Sicherheitsforscher einfach aushebeln: So können Nutzer nur von ihnen autorisierte Thunderbolt-Geräte an ihrem System zulassen. Ruytenberg stellte jedoch fest, dass die Authentifizierung der Geräte am System nicht kryptographisch geschützt war. Entsprechend konnte er ein bereits vom Nutzer autorisiertes Gerät einfach klonen und mit diesem Zugriff auf den Rechner erlangen.

Zudem konnte er die Rückwärtskompatibilität von Thunderbolt 3 zu Thunderbolt 2 ausnutzen und auf diese Weise alte Sicherheitslücken weiterhin ausnutzen. Die Sicherheitslücken wurden Intel bereits im Februar gemeldet. Intel möchte jedoch keine weiteren Schritte unternehmen und verweist auf die 2019 eingeführte Kernel DMA Protection.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


cry88 12. Mai 2020

Eine präparierte Grafikkarte oder ein präparierter Arbeitsspeicher und schon kannst du...

Vögelchen 11. Mai 2020

Im Beitrag wurde erst beschrieben, dass ein Angreifer das Notebook öffnen und aufwendig...

cakruege 11. Mai 2020

Bitlocker mit TPM-Auth, d.h. automatisches Booten bis zum Logonprompt ist damit absolut...

Neuro-Chef 11. Mai 2020

Aber damit ist die Lücke im grunde nur für staatliche Akteure (Überwachung durch...

Lasse Bierstrom 11. Mai 2020

Das Notebook kann abgefangen werden, und ist fortan manipulierten "USB" Sticks...



Aktuell auf der Startseite von Golem.de
Framework Laptop im Hardware-Test
Schrauber aller Länder, vereinigt euch!

Der modulare Framework Laptop ist ein wahrgewordener Basteltraum. Und unsere Begeisterung für das, was damit alles möglich ist, lässt sich nur schwer bändigen.
Ein Test von Oliver Nickel und Sebastian Grüner

Framework Laptop im Hardware-Test: Schrauber aller Länder, vereinigt euch!
Artikel
  1. Rohstoffe: Lithiumkarbonat für über 50 Euro/kg gefährdet Akkupreise
    Rohstoffe
    Lithiumkarbonat für über 50 Euro/kg gefährdet Akkupreise

    Die Lithiumknappheit treibt Kosten für Akkuhersteller in die Höhe und lässt Alternativen attraktiver werden.
    Eine Analyse von Frank Wunderlich-Pfeiffer

  2. 5.000 Dollar Belohnung: Elon Musk wollte Twitter-Konto von 19-Jährigem stilllegen
    5.000 Dollar Belohnung
    Elon Musk wollte Twitter-Konto von 19-Jährigem stilllegen

    Tesla-Chef Elon Musk bot einem US-Teenager jüngst angeblich 5.000 US-Dollar, damit der seinen auf Twitter betriebenen Flight-Tracker einstellt.

  3. Wochenrückblick: Zu viele Zertifikate
    Wochenrückblick
    Zu viele Zertifikate

    Golem.de-Wochenrückblick Zu viele Impfzertifikate und zu lange Kündigungsfristen: die Woche im Video.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Alternate (u.a. HP Omen 25i 165 Hz 184,90€) • MindStar (u.a. Patriot Viper VPN100 1 TB 99€) • HyperX Streamer Starter Set 67€ • WD BLACK P10 Game Drive 5 TB 111€ • Trust GXT 38 35,99€ • RTX 3080 12GB 1.499€ • PS5 Digital mit o2-Vertrag bestellbar • Prime-Filme für je 0,99€ leihen [Werbung]
    •  /