Opnieuw is Thunderbolt kwetsbaar bevonden. Onder de naam Thunderspy publiceert Björn Ruytenberg van de Technische Universiteit Eindhoven een reeks kwetsbaarheden voor alle generaties van de techniek. Ook Thunderbolt 3 is kwetsbaar, al hangen de risico's af van de implementatie in een systeem.
In het kort
Thunderspy bestaat uit zeven kwetsbaarheden die voornamelijk invloed hebben op Linux en Windows - macOS is minder kwetsbaar door een aparte beveiligingslaag. Ook zijn er diverse Windows-laptops die betere beveiliging hebben. In principe gelden de kwetsbaarheden voor Thunderbolt 1, 2 en 3. Om misbruik te maken is fysieke toegang tot een machine nodig. Een softwarematige oplossing lijkt niet mogelijk. De ontdekker spreekt over hardwarematige aanpassingen als oplossing.
Beveiliging volledig gekraakt
Thunderbolt werkt via pci-express en biedt direct memory access. Daardoor is het bijzonder snel, maar tegelijk zijn de risico's daardoor groter, gezien toegang tot het werkgeheugen veel (ongewenste) mogelijkheden biedt. Eerdere versies van Thunderbolt waren kwetsbaar, waarna Intel met Thunderbolt 2 zogenaamde security levels implementeerde. Dit zijn cryptografische functies om de identiteit van apparaten te controleren alvorens ze toegang krijgen. Deze beveiliging is nu gekraakt.
In het onderzoek is beschreven dat de identiteit van een Thunderbolt-apparaat gespoofd kan worden door de metadata in de spi-flash aan te passen (1). Tijdens het boot-proces wordt deze niet geverifieerd, waardoor de aangepaste identiteit vertrouwd wordt door het host-systeem. De hiervoor gebruikte authenticatie zou tevens zwak zijn (2). Ook wordt de metadata van de controller in de drom niet gecontroleerd (3). Verder is er backwards compatibility voor Thunderbolt 2-apparaten via Thunderbolt 3, waardoor laatstgenoemde ook vatbaar wordt voor eerdere kwetsbaarheden (4). Er wordt verder genoemd dat het niveau van beveiliging aangepast kan worden (5) en de beveiliging permanent uitgeschakeld kan worden door de spi-flash aan te passen (6). Specifiek voor Macs is dat er geen Thunderbolt-beveiliging is onder een ander besturingssysteem geïnstalleerd onder Boot Camp (7).
Mogelijke risico's
Door van de bovenstaande zeven kwetsbaarheden gebruik te maken is er direct memory access en kunnen daaraan gerelateerde aanvallen uitgevoerd worden. Onthoud daarbij dat in het ram allerlei gevoelige informatie staat. Op poorten die alleen usb- of displayport-passthrough ondersteunen zou Thunderbolt ingeschakeld kunnen worden, waarna er ook misbruik van gemaakt zou kunnen worden. De onderzoekers hebben ook een tool ontwikkeld om Thunderbolt-beveiliging buiten de bios en het os om uit te schakelen. Met behulp van de tool SPIblock kan de beveiliging permanent uitgeschakeld worden.
Metadata van een Thunderbolt-apparaat.
Kwetsbaarheid Linux en Windows
In principe zijn alle systemen met Linux en Windows kwetsbaar, ongeacht de versie van het besturingssysteem. Enkel systemen met Kernel DMA Protection, een vervanging voor de security levels, lijken deels beveiligd. Dit wordt echter nog verder onderzocht. Hierbij gaat het om bepaalde systemen die vanaf 2019 geleverd zijn, zoals de HP EliteBook en ZBook, Lenovo ThinkPad P53, X1 Carbon en de Lenovo Yoga C940 met Intel Ice Lake-processors.
Kwetsbaarheid Mac
Op Macs is het een ander verhaal. In macOS worden de security levels standaard niet gebruikt. Ter vervanging is er een whitelist samen met iommu-virtualisatie. Hoewel die whitelist omzeild kan worden, blijft de virtualisatie staan als beveiliging. Sinds 2012 en macOS 10.12.3 hebben Macs tevens betere beveiliging tegen aanvallen via direct memory access. Zo wordt eventuele code in de rom van het apparaat niet standaard uitgevoerd, draait het altijd als sandbox in een lagere beveiligingsring en worden ze geïnitialiseerd voordat het ram toegankelijk is via uefi.
Op een Mac met bijvoorbeeld Windows via Boot Camp is het een volledig ander verhaal. Daar is de beveiliging van Thunderbolt volledig uitgeschakeld en is het systeem net zo kwetsbaar als een standaard Linux- of Windows-systeem.
Tijdelijke oplossing
Voor wie zich zorgen maakt is er het advies om tijdelijk Thunderbolt via de bios uit te schakelen, een systeem niet onbeheerd achter te laten en alleen vertrouwde Thunderbolt-accessoires aan te sluiten. Tijdens de Black Hat-conferentie worden meer details bekendgemaakt. Die wordt dit jaar virtueel georganiseerd.
Bronnen: Apple Platform Security (PDF), Thunderspy (PDF), Thunderspy
