Thunderspy: Nicht patchbare Sicherheitslücken in Thunderbolt

Mit einem Schraubendreher und einem SPI-Programmer lassen sich zentrale Sicherheitsfunktionen von Thunderbolt deaktivieren.

Artikel veröffentlicht am ,
Thunderspy: Sicherheitslücken in Thunderbolt mit eigenem Logo
Thunderspy: Sicherheitslücken in Thunderbolt mit eigenem Logo (Bild: Björn Ruytenberg/CC-BY 4.0)

Unter dem Namen Thunderspy hat der Sicherheitsforscher Björn Ruytenberg eine Reihe von Sicherheitslücken in Intels Thunderbolt-Schnittstelle veröffentlicht. Ruytenberg ist es unter anderem gelungen, die Firmware der Thunderbolt-Chips von Intel auszutauschen und damit die Sicherheitsfunktionen von Thunderbolt zu deaktivieren. Anschließend können unauthentifizierte Thunderbolt-Geräte auf den Arbeitsspeicher zugreifen und beispielsweise die Festplattenverschlüsselung umgehen. Betroffen sind nahezu alle Rechner mit einer Thunderbolt-Schnittstelle. Die Sicherheitslücken lassen sich nicht durch ein Softwareupdate beheben.

Stellenmarkt
  1. Software Architekt / Software Architect (m/w/d)
    igus GmbH, Köln
  2. Software Consultant / Project Manager (m/w/d) Software Logistics
    ecovium GmbH, deutschlandweit (Home-Office möglich)
Detailsuche

Die Firmware der Thunderbolt-Chips lässt sich in wenigen Minuten austauschen, erklärt Ruytenberg. Ganz trivial sind sie allerdings nicht: Der Angreifer muss den Laptop oder Rechner aufschrauben, den Thunderbolt-Controller identifizieren und mit einem SPI-Flash-Programmer eine neue Firmware auf den Chip flashen. Eigentlich authentifiziert Intels Thunderbolt-Chip die Firmware bei einem Update, dies geschieht jedoch nicht, wenn diese direkt auf den Chip geschrieben wird.

Mit der neu eingespielten Firmware lassen sich die Sicherheitslevel herabsetzen, die Intel mit Thunderbolt 2 als Reaktion auf die Sicherheitsprobleme von Thunderbolt eingeführt hatte. Diese sollen verhindern, dass jedes Thunderbolt-Gerät auf den Arbeitsspeicher eines Rechners zugreifen und so weitreichende Informationen auslesen kann, bis hin zum Schlüssel der Festplattenverschlüsselung.

Kernel DMA Protection oder Thunderbolt deaktivieren hilft

Nutzer, die Thunderbolt ohnehin nicht verwenden, können dies im UEFI/Bios deaktivieren. Können die Ports nicht deaktiviert werden, rät der Sicherheitsforscher dazu, nur eigene Thunderbolt-Geräte anzuschließen und den eingeschalteten Rechner nicht aus den Augen zu lassen. Zu Ähnlichem rät auch Intel in einem Blogeintrag: "Für alle Systeme empfehlen wir die Einhaltung von Standard-Sicherheitspraktiken, einschließlich der Verwendung nur vertrauenswürdiger Peripheriegeräte und der Verhinderung unbefugten physischen Zugriffs auf Computer."

Golem Karrierewelt
  1. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    11.-15.07.2022, virtuell
  2. Automatisierung (RPA) mit Python: virtueller Zwei-Tage-Workshop
    03./04.11.2022, Virtuell
Weitere IT-Trainings

Mit Kernel DMA Protection wurde zudem ein Schutz gegen derlei Angriffe entwickelt, betonen Intel und Ruytenberg. Dieser ist allerdings nur in wenigen Rechnern, die seit 2019 veröffentlicht wurden, enthalten. "Wenn die Schutzfunktion aktiviert ist, können Thunderbolt-Geräte nur noch auf eigene Speicherbereiche zugreifen, die per IOMMU gesteuert werden", erklärt Ruytenberg. Die Aktivierung der Kernel DMA Protection führe allerdings zu Kompatibilitätsproblemen mit einer Reihe von Thunderbolt-Geräten und schütze nicht vor Angriffen auf dem Niveau von BadUSB, sagt der Sicherheitsforscher.

Weitere Thunderbolt-Angriffe

Eine weitere Schutzfunktion von Thunderbolt konnte der Sicherheitsforscher einfach aushebeln: So können Nutzer nur von ihnen autorisierte Thunderbolt-Geräte an ihrem System zulassen. Ruytenberg stellte jedoch fest, dass die Authentifizierung der Geräte am System nicht kryptographisch geschützt war. Entsprechend konnte er ein bereits vom Nutzer autorisiertes Gerät einfach klonen und mit diesem Zugriff auf den Rechner erlangen.

Zudem konnte er die Rückwärtskompatibilität von Thunderbolt 3 zu Thunderbolt 2 ausnutzen und auf diese Weise alte Sicherheitslücken weiterhin ausnutzen. Die Sicherheitslücken wurden Intel bereits im Februar gemeldet. Intel möchte jedoch keine weiteren Schritte unternehmen und verweist auf die 2019 eingeführte Kernel DMA Protection.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


cry88 12. Mai 2020

Eine präparierte Grafikkarte oder ein präparierter Arbeitsspeicher und schon kannst du...

Vögelchen 11. Mai 2020

Im Beitrag wurde erst beschrieben, dass ein Angreifer das Notebook öffnen und aufwendig...

cakruege 11. Mai 2020

Bitlocker mit TPM-Auth, d.h. automatisches Booten bis zum Logonprompt ist damit absolut...

Neuro-Chef 11. Mai 2020

Aber damit ist die Lücke im grunde nur für staatliche Akteure (Überwachung durch...



Aktuell auf der Startseite von Golem.de
Unix-Nachfolger
Plan 9 sollte bessere Audio-Kompression bekommen als MP3

Die Entwicklung der Audio-Kompression und die schwierige MP3-Patentsituation hätte ohne das Nein eines Anwalts wohl anders ausgesehen.

Unix-Nachfolger: Plan 9 sollte bessere Audio-Kompression bekommen als MP3
Artikel
  1. Vision, Disruption, Transformation: Populäre Denkfehler in der Digitalisierung
    Vision, Disruption, Transformation
    Populäre Denkfehler in der Digitalisierung

    Der Essay Träge Transformation hinterfragt Schlagwörter des IT-Managements und räumt mit gängigen Vorstellungen auf. Die Lektüre ist aufschlussreich und sogar lustig.
    Eine Rezension von Ulrich Hottelet

  2. Mireo Plus H: Brandenburgischer Verkehrsbetrieb kauft Brennstoffzellenzüge
    Mireo Plus H
    Brandenburgischer Verkehrsbetrieb kauft Brennstoffzellenzüge

    Siemens liefert sieben mit Wasserstoff betriebene Züge an den Verkehrsbetrieb NEB. Sie sollen ab Ende 2024 im Einsatz sein.

  3. Pro Electric SuperVan: Ford zeigt Elektro-Van mit 1.490 kW
    Pro Electric SuperVan
    Ford zeigt Elektro-Van mit 1.490 kW

    Ford hat auf dem Goodwood Festival of Speed den Ford Pro Electric SuperVan gezeigt, der die Tradition der Transit-Showcars des Unternehmens fortsetzt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Prime Video: Filme leihen 0,99€ • Alternate: Gehäuse & Co. von Fractal Design • Nur noch heute: 16.000 Artikel günstiger bei MediaMarkt • MindStar (Samsung 970 EVO Plus 250GB 39€) • Hori RWA 87,39€ • Honor X7 128GB 150,42€ • Phanteks Eclipse P200A + Glacier One 280 157,89€ [Werbung]
    •  /