image

Thunderbolt-lek geeft fysieke aanvaller toegang tot vergrendelde pc

maandag 11 mei 2020, 11:58 door Redactie, 12 reacties

Verschillende kwetsbaarheden in Thunderbolt 1, 2 en 3 maken het mogelijk voor een aanvaller met fysieke toegang tot een vergrendelde computer om het systeem te ontgrendelen. Dat laat de Nederlandse beveiligingsonderzoeker Björn Ruytenberg van de Technische Universiteit Eindhoven weten.

Het probleem speelt bij alle met Thunderbolt uitgeruste systemen die tussen 2011 en 2020 zijn uitgebracht. Het maakt daarbij niet uit of het doelwit Linux of Windows draait. MacOS is deels kwetsbaar. Macs die via Boot Camp Linux of Windows draaien zijn wel volledig kwetsbaar. Om de aanval uit te voeren, die door Ruytenberg Thunderspy wordt genoemd, moet een aanvaller het ingeschakelde systeem wel eerst openen. Vervolgens is het door de gevonden kwetsbaarheden mogelijk om de Thunderbolt-firmware te herprogrammeren.

Om misbruik via de Thunderbolt-poort tegen te gaan ontwikkelde Intel "Security Levels". Via deze beveiligingsmaatregel accepteert het systeem alleen maar Thunderbolt-apparaten die door de gebruiker zijn goedgekeurd of is het mogelijk om Thunderbolt in het besturingssysteem uit te schakelen. Door het herprogrammeren van de firmware is het echter mogelijk om het ingetelde beveiligingsniveau te veranderen, zodat willekeurige Thunderbolt-apparaten worden geaccepteerd. De gemaakte aanpassing is niet zichtbaar voor het besturingssysteem.

Nadat een aanvaller de firmware heeft aangepast kan die zijn eigen Thunderbolt-apparaat aansluiten en zo de schermvergrendeling van de computer omzeilen. De gehele aanval is binnen vijf minuten uit te voeren. De Thunderspy-kwetsbaarheden zijn volgens Ruytenberg niet met een software-update te verhelpen. Sommige systemen die met Kernel DMA Protection zijn uitgerust, wat als bescherming tegen de vorig jaar onthulde Thunderclap-aanval werd geïntroduceerd, zijn deels kwetsbaar, aldus de onderzoeker. Kernel DMA Protection is nog niet op alle nieuwe computers aanwezig en veel voor 2019 gemaakte Thunderbolt-apparaten zijn niet compatibel met de beveiligingsmaatregel.

Ruytenberg ontwikkelde een tool voor Linux en Windows genaamd Spycheck waarmee gebruikers kunnen controleren of hun systeem risico loopt. Wie zich tegen een Thunderspy-aanval wil beschermen krijgt het advies om hibernation (Suspend-to-Disk) toe te passen of het systeem volledig uit te schakelen. Gebruikers moeten in ieder geval voorkomen dat ze een vergrendelde computer onbeheerd achterlaten. Wanneer er geen gebruik van Thunderbolt wordt gemaakt doen gebruikers er verstandig aan om de interface via de UEFI/BIOS uit te schakelen. In onderstaande video demonstreert Ruytenberg de aanval.

Image

Video - Thunderspy PoC demo 1: Unlocking Windows PC in 5 minutes. Bron: YouTube

Reacties (12)
11-05-2020, 12:12 door Anoniem
Mijn eerste reactie was "dit was toch al bekend?" maar kennelijk nog onbekend genoeg dat er ruimte was voor een proof-of-concept. Je kon er eigenlijk wel op wachten, want thunderbolt begint met een onveilig ontwerp en probeert achteraf met "security levels" de boel weer op te lappen. Dat werkt niet.

Was het niet ook intel die via usb-c een debug-interface introduceerde die ook aan alle kanten te misbruiken was?
11-05-2020, 12:25 door [Account Verwijderd]
Zo blijkt wederom dat Intel moeite heeft met de security aspecten van de hardware die ze maken, en dat dat dus verder gaat dan alleen de CPU's die ze leveren.
11-05-2020, 12:26 door Anoniem
Dat is goed. Dan kan de politie criminelen hacken waardoor ze veroordeeld kunnen worden.
Het is ironisch dat juist het breken van een beveiliging, mensen veiliger maakt.
11-05-2020, 13:15 door Anoniem
Systeem gewoon helemaal uitzetten. Klaar is kees.
11-05-2020, 13:42 door Anoniem
Door Anoniem: Systeem gewoon helemaal uitzetten. Klaar is kees.

Elke keer als je een kopje koffie of een toilet/rook pauze houdt.
Dat gaat je tijd kosten.
11-05-2020, 13:49 door Anoniem
Door Anoniem: Dat is goed. Dan kan de politie criminelen hacken waardoor ze veroordeeld kunnen worden.
Het is ironisch dat juist het breken van een beveiliging, mensen veiliger maakt.

Maar omgekeerd kan dus ook. Criminelen kunnen een pc van de politie hacken en zo zien wat die over hen weet. Blij zijn met een lek is nooit goed. Het zal je bedrijf maar zijn, dat failliet gaat door zo iets.
11-05-2020, 13:50 door MathFox
Door iatomory: Zo blijkt wederom dat Intel moeite heeft met de security aspecten van de hardware die ze maken, en dat dat dus verder gaat dan alleen de CPU's die ze leveren.
Wat is er over van de security van een computer op het moment dat je de kast kunt openschroeven? Full HD encryptie helpt je niet als de actieve sleutel voor het systeem beschikbaar is. Het RAM geheugen is direct te manipuleren...
11-05-2020, 14:12 door Anoniem
Door Anoniem:
Door Anoniem: Dat is goed. Dan kan de politie criminelen hacken waardoor ze veroordeeld kunnen worden.
Het is ironisch dat juist het breken van een beveiliging, mensen veiliger maakt.

Maar omgekeerd kan dus ook. Criminelen kunnen een pc van de politie hacken en zo zien wat die over hen weet. Blij zijn met een lek is nooit goed. Het zal je bedrijf maar zijn, dat failliet gaat door zo iets.

Mee eens, maar ik neem aan dat onze politie wel in staat is de fysieke toegang tot hun apparatuur op een adequate manier te beveiligen.

Anoniem 12:26
11-05-2020, 16:47 door Anoniem
Door MathFox:
Door iatomory: Zo blijkt wederom dat Intel moeite heeft met de security aspecten van de hardware die ze maken, en dat dat dus verder gaat dan alleen de CPU's die ze leveren.
Wat is er over van de security van een computer op het moment dat je de kast kunt openschroeven? Full HD encryptie helpt je niet als de actieve sleutel voor het systeem beschikbaar is. Het RAM geheugen is direct te manipuleren...

Bij fysieke toegang is nagenoeg alles 'lek'.
11-05-2020, 16:55 door [Account Verwijderd] - Bijgewerkt: 11-05-2020, 16:56
Door Anoniem: Mee eens, maar ik neem aan dat onze politie wel in staat is de fysieke toegang tot hun apparatuur op een adequate manier te beveiligen.
Dan onderschat je het belang van een defense-in-depth benadering. Bovendien heeft niet iedereen de luxe zichzelf op te sluiten achter een dikke deur, denk ook even aan de honderdduizenden thuiswerkers op dit moment. Het zal niet de eerste keer zijn dat er hardware verdwijnt, hoe goed de fysieke beveiliging ook mag zijn.
11-05-2020, 20:54 door Anoniem
Door Anoniem:
Door Anoniem: Systeem gewoon helemaal uitzetten. Klaar is kees.

Elke keer als je een kopje koffie of een toilet/rook pauze houdt.
Dat gaat je tijd kosten.

Mensen die rookpauzes houden daar heb ik geen medelijden mee.
Die andere pauze's zijn zo kort dat iemand echt niet met de PC aan de slag kan in die tijd.
12-05-2020, 10:59 door Anoniem
Door Anoniem: Mensen die rookpauzes houden daar heb ik geen medelijden mee.
Ondertussen laten ze wel hun werkstationnetje onbeheerd achter, vol met data en toegang tot nog meer data... van het bedrijf.

Die andere pauze's zijn zo kort dat iemand echt niet met de PC aan de slag kan in die tijd.
Moet jij eens opletten wat er gebeurt als De Vries van inkoop "zo kort" naar het koffieapparaat hobbelt en weer terug en ondertussen even met Janssen van de administratie bijbabbelt.

Het is ook niet "iemand die met de PC aan de slag gaat", maar "steekt een stekker in de thunderbolt en laat het slurp-apparaat z'n ding doen". Tenminste, zo zou ik het opzetten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.