Verschillende kwetsbaarheden in Thunderbolt 1, 2 en 3 maken het mogelijk voor een aanvaller met fysieke toegang tot een vergrendelde computer om het systeem te ontgrendelen. Dat laat de Nederlandse beveiligingsonderzoeker Björn Ruytenberg van de Technische Universiteit Eindhoven weten.
Het probleem speelt bij alle met Thunderbolt uitgeruste systemen die tussen 2011 en 2020 zijn uitgebracht. Het maakt daarbij niet uit of het doelwit Linux of Windows draait. MacOS is deels kwetsbaar. Macs die via Boot Camp Linux of Windows draaien zijn wel volledig kwetsbaar. Om de aanval uit te voeren, die door Ruytenberg Thunderspy wordt genoemd, moet een aanvaller het ingeschakelde systeem wel eerst openen. Vervolgens is het door de gevonden kwetsbaarheden mogelijk om de Thunderbolt-firmware te herprogrammeren.
Om misbruik via de Thunderbolt-poort tegen te gaan ontwikkelde Intel "Security Levels". Via deze beveiligingsmaatregel accepteert het systeem alleen maar Thunderbolt-apparaten die door de gebruiker zijn goedgekeurd of is het mogelijk om Thunderbolt in het besturingssysteem uit te schakelen. Door het herprogrammeren van de firmware is het echter mogelijk om het ingetelde beveiligingsniveau te veranderen, zodat willekeurige Thunderbolt-apparaten worden geaccepteerd. De gemaakte aanpassing is niet zichtbaar voor het besturingssysteem.
Nadat een aanvaller de firmware heeft aangepast kan die zijn eigen Thunderbolt-apparaat aansluiten en zo de schermvergrendeling van de computer omzeilen. De gehele aanval is binnen vijf minuten uit te voeren. De Thunderspy-kwetsbaarheden zijn volgens Ruytenberg niet met een software-update te verhelpen. Sommige systemen die met Kernel DMA Protection zijn uitgerust, wat als bescherming tegen de vorig jaar onthulde Thunderclap-aanval werd geïntroduceerd, zijn deels kwetsbaar, aldus de onderzoeker. Kernel DMA Protection is nog niet op alle nieuwe computers aanwezig en veel voor 2019 gemaakte Thunderbolt-apparaten zijn niet compatibel met de beveiligingsmaatregel.
Ruytenberg ontwikkelde een tool voor Linux en Windows genaamd Spycheck waarmee gebruikers kunnen controleren of hun systeem risico loopt. Wie zich tegen een Thunderspy-aanval wil beschermen krijgt het advies om hibernation (Suspend-to-Disk) toe te passen of het systeem volledig uit te schakelen. Gebruikers moeten in ieder geval voorkomen dat ze een vergrendelde computer onbeheerd achterlaten. Wanneer er geen gebruik van Thunderbolt wordt gemaakt doen gebruikers er verstandig aan om de interface via de UEFI/BIOS uit te schakelen. In onderstaande video demonstreert Ruytenberg de aanval.
Video - Thunderspy PoC demo 1: Unlocking Windows PC in 5 minutes. Bron: YouTube
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior specialist OSINT
Ben jij enthousiast en leergierig en wil je het cybercrimeteam Oost Nederland verder helpen in de aanpak van digitale criminaliteit? We zijn op zoek naar een junior specialist Open Source Intelligence (OSINT). Weet jij de digitale wereld van buiten naar binnen te halen? Dan is deze functie iets voor jou!
Juridische vraag: ik las in het FD dat concurrenten de AVG niet tegen elkaar in konden zetten. Maar het is toch oneerlijke ...
Een digitaal paspoort, recht op een betaalbare en snelle internetverbinding, 'digitale inburgering' of digitaal stemmen, het ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.