Thunderspy: Notebooks über Thunderbolt-Anschluss kapern

Windows 10 kann zwar mehrere Sicherheitslücken in Intels Thunderbolt-Spezifikationen schließen, den meisten Notebooks fehlt dafür aber die UEFI-Unterstützung.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 150 Beiträge

(Bild: megaflopp/Shutterstock.com)

Von

Forscher der Eindhoven University of Technology haben einen neuen Weg gefunden, um Sicherheitslücken in Thunderbolt-Anschlüssen auszunutzen und so vollständigen Zugriff auf PCs zu erhalten. Die Attacke funktioniert ausschließlich mit physischem Zugriff auf ein Gerät mit Thunderbolt 3, erlaubt dann aber das Auslesen sämtlicher Daten und die Installation beliebiger Software, indem der Angreifer den Sperrbildschirm von Windows beziehungsweise Linux umgeht.

Eine „Thunderspy“-Attacke soll sich mit gängigen Hardware-Tools in unter 5 Minuten durchführen lassen: Der Angreifer muss die Unterseite eines Notebooks aufschrauben, um an den Thunderbolt-Controller zu gelangen. Über eine SOP8-Zange kann man sich mit dem Serial Peripheral Interface (SPI) des Firmware-Speicherchips verbinden, sich als vertrauenswürdiges Gerät ausgeben und eine eigene modifizierte Firmware aufspielen.

Mit dieser wiederum lassen sich die sogenannten Security Levels auf 0 setzen, sodass der Thunderbolt-Controller jedwedes Gerät als vertrauenswürdig erachtet und beliebige Speicherzugriffe über das PCI-Express-Interface zulässt (Direct Memory Access, DMA). Danach kann der Angreifer sein eigenes Notebook über Thunderbolt verbinden, Code ausführen und so die Passwortsperre umgehen. Eine Speicherverschlüsselung schützt in einem solchen Fall nicht

Einfacher wird die Attacke, wenn der Angreifer Zugriff auf Thunderbolt-Peripherie erhält, die das Opfer mindestens einmal eingesetzt hat, zum Beispiel eine Dockingstation: Der Controller stuft diese mittels hinterlegtem Code als vertrauenswürdig ein, der sich simpel auf andere Thunderbolt-Geräte kopieren lässt.

„Thunderspy“ weitet Sicherheitslücken aus, die Anfang 2019 infolge von „Thunderclap“ bekannt wurden. Die Forscher der niederländischen Universität kreiden eine Reihe von Designfehlern in Intels Thunderbolt-Spezifikation an, die zwar die Nutzung vereinfachen, jedoch gleichzeitig die Sicherheit verringern. Darunter: eine schwache Authentifizierung, damit möglichst viele Geräte funktionieren, die Offenlegung des Serial Peripheral Interface (SPI) und die Abwärtskompatibilität von Thunderbolt 3 zu Thunderbolt 1 und 2, womit die aktuelle Version alle Schwachstellen erbe.

Microsoft hat Windows 10 mit der Kernel DMA Protection theoretisch für „Thunderclap“ und damit „Thunderspy“ abgesichert, allerdings erfordert die Funktion Anpassungen im UEFI, die laut Wired bisher nur einige Notebooks von HP und Lenovo umsetzen. Dabei blockiert Windows 10 mittels Input/Output Memory Management Unit (IOMMU) einen direkten Speicherzugriff von Thunderbolt-Geräten, wenn diese keine Speicherisolierung, also den Zugriff auf einen zugewiesenen, kleinen RAM-Teil unterstützen (DMA-Remapping). Diese Geräte funktionieren dann erst, sobald sich der Nutzer in Windows 10 angemeldet hat.

In Linux-Betriebssystemen gibt es keine entsprechende Funktion. Apples MacBooks und Macs sind nur in einer Boot-Camp-Umgebung zum Ausführen von Windows oder Linux betroffen, da die Systeme dort die Security Levels automatisch auf 0 setzen. macOS ist wegen einer Apple-kuratierten Whitelist von Thunderbolt-Geräten nicht anfällig für entsprechende Angriffe.

„Thunderspy“ lässt sich wegen der Komplexität nur gezielt auf ein individuelles Notebook ausführen. Es geht hier um das bekannte „Evil Maid“-Szenario, bei dem ein Computer mit wichtigen Informationen heimlich manipuliert oder gestohlen wird, um an Daten zu gelangen oder um eine Backdoor einzubauen. Wer um seine Daten besorgt ist, sollte laut Sicherheitsforscher Björn Ruytenberg sämtliche Thunderbolt-Anschlüsse komplett deaktivieren. Die Nutzung des USB-only-Modus per UEFI genügt nicht. (mma)