Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Nieuwe Thunderbolt-aanval laat aanvaller computers overnemen

woensdag 27 februari 2019, 10:24 door Redactie, 3 reacties

Onderzoekers hebben een nieuwe aanval genaamd "Thunderclap" gedemonstreerd waarbij ze computers binnen enkele seconden via Thunderbolt kunnen overnemen. Het probleem speelt bij alle computers die over een Thunderbolt-poort beschikken en op Windows, macOS, Linux en FreeBSD draaien.

Met name Apple-laptops en -desktops die sinds 2011 geproduceerd zijn lopen risico, met uitzondering van de 12-inch MacBook. Veel laptops en sommige desktops die op Linux en Windows draaien en sinds 2016 geproduceerd zijn, zijn ook kwetsbaar. Door het aansluiten van een kwaadaardig Thunderbolt-apparaat is het mogelijk om willekeurige met de hoogste rechten uit te voeren en toegang tot wachtwoorden, inloggegevens voor internetbankieren, encryptiesleutels, privébestanden en andere data te krijgen, aldus de onderzoekers.

Ze merken op dat de aanval ook is uit te voeren via onschuldig lijkende randapparatuur, zoals opladers en projectors die het apparaat gewoon opladen of beeld laten zien, maar gelijktijdig de aangesloten computer compromitteren. De Thunderclap-kwetsbaarheden zijn ook te misbruiken via gecompromitteerde PCI Express-randapparatuur.

Oorzaak

De Thunderclap-kwetsbaarheden worden veroorzaakt door het feit dat randapparatuur zoals netwerkkaarten en videokaarten vertrouwde onderdelen van een computer zijn. Ze hebben direct memory access (DMA), waarmee ze het systeemgeheugen kunnen lezen en schrijven, zonder toezicht van het besturingssysteem. DMA laat randapparatuur het securitybeleid van het besturingssysteem omzeilen.

Volgens de onderzoekers zijn eerder ontwikkelde DMA-aanvallen door hackers en inlichtingendiensten gebruikt om systemen over te nemen en gevoelige data te stelen. Om eerdere DMA-aanvallen tegen te gaan kunnen besturingssystemen via de input-output memory management unit (IOMMU) geheugentoegang door randapparatuur beperken. De meeste systemen hebben IOMMU echter niet ingeschakeld of ondersteunen het niet. Zo wordt het niet ondersteund door Windows 7, Windows 8 en Windows 10 Home en Pro. Alleen macOS heeft het standaard ingeschakeld.

De Thunderclap-aanval maakt gebruik van kwetsbaarheden in de manier waarop besturingssystemen IOMMU gebruiken. Zo was de beveiligingsmaatregel op Linux, wanneer ingeschakeld, eenvoudig te omzeilen. Daardoor konden de onderzoekers aangevallen systemen via DMA compromitteren. Hiervoor maakten ze gebruik van een apparaat dat zich voordeed als echte netwerkkaart, zo meldt onderzoeker Theo Markettos.

Beveiligingsmaatregelen

De onderzoekers stellen dat hardwarefabrikanten en ontwikkelaars van besturingssystemen oplossingen hebben uitgebracht om gebruikers te beschermen. Die krijgen dan ook het advies om beschikbare beveiligingsupdates voor hun besturingssysteem te installeren. De updates verhelpen echter niet alle mogelijkheden tot misbruik via specifieke aanvallen. De beste manier om volledig beschermd te zijn is om de Thunderbolt-poorten uit te schakelen. Door de noodzaak om legitieme randapparatuur aan te sluiten en op te laden is dit volgens de onderzoekers onhaalbaar.

Een andere maatregel die gebruikers kunnen nemen is om hun computer niet onbeheerd in publiek achter te laten en geen publieke USB-C-oplaadstations te gebruiken. Ook moeten gebruikers alert zijn op het aansluiten van onbekende apparaten op de Thunderbolt-poort van de machine. Het gaat dan ook om onschuldig lijkende opladers en projectors.

In het geval van Windows kan er een melding verschijnen als er een nieuw Thunderbolt-apparaat wordt aangesloten. Gebruikers moeten alleen vertrouwde apparaten goedkeuren en alleen hiervoor de Thunderbolt-features inschakelen, zo gaan de onderzoekers verder. In het geval er een onverwachte waarschuwing verschijnt moeten gebruikers die niet goedkeuren en het aangesloten apparaat weer loskoppelen. Eén grote laptopfabrikant liet de onderzoekers weten dat ze de kwetsbaarheden eerst beter willen begrijpen voordat ze Thunderbolt aan nieuwe laptopmodellen toevoegen.

Adobe kondigt einde aan van Shockwave Player
Google Play Protect standaard aan op nieuwe Androidtoestellen
Reacties (3)
27-02-2019, 11:34 door Anoniem
Lang leve Qubes.
27-02-2019, 16:07 door MathFox
Door Anoniem: Lang leve Qubes.
Hoe bescherm jij een VM tegen een gecorrumpeerd host OS?
28-02-2019, 08:58 door Anoniem
Door MathFox:
Door Anoniem: Lang leve Qubes.
Hoe bescherm jij een VM tegen een gecorrumpeerd host OS?
niet de eerste kerel, maar in qubes word alles gedaan door vms, qubes heeft geen host os, omdat het gebruikt maakt van een bare metal hypervisor, dom0 is de vm waaruit je de andere vms gebrukt (en waar ook de gui in draait) maar de usb en de netwerk kaart zijn via iommu aan gewezen en de sys-usb en sys-net vms, hierdoor kan dom0 niet bereikt worden via het netwerk, en als je wel dom0 wilt bereiken, moet je dus eerst uit de VM breken :)
je kunt er meer over lezen op qubes-os.org
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Welke messaging-app gebruik jij?

8 reacties
Aantal stemmen: 197
Advertentie

Image

Certified Secure LIVE Online

Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!

Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!

Neem contact met ons op voor de mogelijkheden voor jouw team.

Lees meer
Mag mijn werkgever vragen of ik Corona heb (gehad) of gevaccineerd ben?
13-01-2021 door Arnoud Engelfriet

Juridische vraag: Als mijn werkgever van mij verlangt om aan te geven of ik Corona heb, dan wel mij heb laten testen of mij ...

19 reacties
Lees meer
Signal, WhatsApp, Telegram en Threema vergeleken
12-01-2021 door Anoniem

Leuke vergelijking tussen verschillende chat apps. Wel hoog WC-eend gehalte, maar ik wist niet dat Signal niet aan de AVG ...

1 reacties
Lees meer
SolarWinds: overzicht van een wereldwijde supply-chain-aanval
21-12-2020 door Redactie

Het risico van een supply-chain-aanval, waarbij aanvallers via software of systemen van een derde partij bij organisaties weten ...

15 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter