{"id":231533,"date":"2020-05-11T13:20:29","date_gmt":"2020-05-11T11:20:29","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=231533"},"modified":"2024-08-12T13:47:09","modified_gmt":"2024-08-12T11:47:09","slug":"thunderspy-schwachstelle-in-thunderbolt-3-schnittstelle","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/05\/11\/thunderspy-schwachstelle-in-thunderbolt-3-schnittstelle\/","title":{"rendered":"ThunderSpy: Schwachstelle in Thunderbolt 3-Schnittstelle"},"content":{"rendered":"

[English<\/a>]Sicherheitsforscher haben gerade mehrere Schwachstellen im Thunderbolt 3-Anschluss offen gelegt, \u00fcber die sich Ger\u00e4te ausspionieren lassen. Gleichzeitig haben sie Tools ver\u00f6ffentlicht, \u00fcber die sich unter Linux und Windows pr\u00fcfen l\u00e4sst, ob Ger\u00e4te \u00fcber Thunderspy ausgekundschaftet werden k\u00f6nnen.<\/p>\n

<\/p>\n

\"\"Es ist schon ein Witz: Die Tage hatte ich noch im Blog-Beitrag Sicherheit: Darum hat das Surface PC kein Thunderbolt<\/a> \u00fcber ein Ger\u00fccht berichtet, das Microsoft seinen Surface-Ger\u00e4ten aus Sicherheitsgr\u00fcnden keinen Thunderbolt-Anschluss spendiert. Nun bin ich \u00fcber nachfolgenden Tweet auf existierende Schwachstellen aufmerksam geworden.<\/p>\n

\n

New Thunderbolt vulnerability disclosed tonighthttps:\/\/t.co\/XKkbMEYz5r<\/a> pic.twitter.com\/3hg8zrjhsc<\/a><\/p>\n

\u2014 Catalin Cimpanu (@campuscodi) May 11, 2020<\/a><\/p><\/blockquote>\n

Auf der Webseite thunderspy.io<\/a> berichtet Bj\u00f6rn Ruytenberg \u00fcber von ihm gefundene Schwachstellen im Thunderbolt 3-Anschluss. Der Sicherheitsforscher ist auf 7 Schwachstellen im Design von Intel gesto\u00dfen, die die Sicherheit von Ger\u00e4ten mit Thunderbolt-Anschluss gef\u00e4hrden. Er hat 9 realistische Szenarien gefunden, die ausgenutzt werden k\u00f6nnten, um Zugang zu einem System zu erhalten, egal, ob dort Abwehrmechanismen vorhanden sind, die Intel zum Schutz der Thunderbolt-Schnittstelle eingerichtet hat.<\/p>\n

Proof of Concept<\/h2>\n

Der Sicherheitforscher und sein Team von der Eindhoven University of Technology hat ein kostenloses und quelloffenes Tool, Spycheck, entwickelt. Mit diesem Tool l\u00e4sst sich feststellen, ob ein System verwundbar ist. Stellt sich heraus, dass ein System anf\u00e4llig ist, liefert Spycheck Empfehlungen, wie man das System sch\u00fctzen kann.<\/p>\n

(Quelle: YouTube<\/a>)<\/p>\n

Obiges Video auf Youtube zeigt die Anwendung des Proof of Concept (PoC) sowie Details bei einem konkreten Ger\u00e4t. Ein Lenovo-Notebook mit Thunderbolt-Anschluss wird dazu aufgeschraubt und mit einer speziellen Hardware (Thunderbolt Controller Firmware Patcher) kontaktiert. Dann kann auf das gesperrte Notebook zugegriffen werden.<\/p>\n

Zugriff auf alle Daten<\/h2>\n

Thunderspy zielt auf Ger\u00e4te mit einem Thunderbolt-Anschluss. Wenn ein Computer \u00fcber einen solchen Anschluss verf\u00fcgt, kann ein Angreifer, der kurzzeitig physischen Zugriff darauf erh\u00e4lt, alle Daten dieses Systems lesen und kopieren, selbst wenn die Laufwerke auf dem System verschl\u00fcsselt und der Computer gesperrt oder in den Ruhezustand versetzt ist.<\/p>\n

Thunderspy ist Stealth, d.h. Nutzer finden sp\u00e4ter keine Spuren des Angriffs. Es erfordert auch keine Beteiligung des Nutzers, um den Angriff durchzuf\u00fchren. Das hei\u00dft, es sind keine Phishing-Links oder b\u00f6sartige Hardware erforderlich, um den Angriff auszuf\u00fchren. Der Zugang zum System gen\u00fcgt. Selbst ein gesperrtes oder in den Ruhezustand versetztes System, samt Secure Boot und starken BIOS- und Betriebssystemkontopassw\u00f6rtern sowie eine vollst\u00e4ndige Festplattenverschl\u00fcsselung bieten keinen Schutz gegen einen Datenklau. Alles, was der Angreifer braucht, so die Sicherheitsforscher, sind 5 Minuten allein mit dem Computer, einem Schraubenzieher und ein wenig Hardware.<\/p>\n

Details und Gegenma\u00dfnahmen<\/h2>\n

Auf seiner eigens aufgesetzten Webseite<\/a> legt Ruythenberg weitere Informationen zu diesen Schwachstellen offen. Das Ganze wirkt sich auf Thunderbolt-Anschl\u00fcsse aus, die zwischen 2011 und 2020 von diversen Herstellern (auch Apple) ausgeliefert wurden. Auf der Webseite gibt es auch Testtools f\u00fcr Linux und Windows zum \u00dcberpr\u00fcfen der Systeme, ob diese durch die Schwachstellen betroffen sind.<\/p>\n

Wer betroffen ist, kann sich nur dagegen sch\u00fctzen, dass das Ger\u00e4t st\u00e4ndig unter eigener Kontrolle ist, immer komplett heruntergefahren wird (so dass die Absicherung \u00fcber Secure Boot mit Kennw\u00f6rtern funktioniert) und ggf. der Thunderbolt-Controller deaktiviert wird. Das geht aus den auf der Webseite ver\u00f6ffentlichten Informationen<\/a> hervor. Auch der in Windows 10 integrierte Kernel DMA Protection-Schutz hilft oft nicht, da die Modifikationen im UEFI laut diesem heise-Artikel<\/a> (bzw. diesem Wired-Beitrag<\/a>) in den meisten Systemen nicht implementiert sind.<\/p>\n

Intel reagiert schleppend<\/h2>\n

Er hat Intel \u00fcber f\u00fcnf Schwachstellen bereits am 10. M\u00e4rz 2020 informiert. Sp\u00e4ter wurde eine sechste Schwachstelle an Intel gemeldet, Intel hat am 17. M\u00e4rz best\u00e4tigt, dass es eine Schwachstelle sei.<\/p>\n

In der ersten E-Mail bat Ruythenberg Intel, die betroffenen Parteien in Abstimmung mit ihm umgehend zu benachrichtigen. Intel ergriff jedoch keine Ma\u00dfnahmen und listete schlie\u00dflich, nach mehreren E-Mails , nur 5 Parteien, die sie informieren w\u00fcrden, auf. Der Sicherheitsforscher fasste nach und schickte Intel dann eine Liste mit anderen Parteien, die er als betroffen identifiziert hatte. Darunter ware 11 OEMs\/ODMs und das Linux-Kernel-Sicherheitsteam. Schlie\u00dflich teilte Intel mit, dass sie am 25. M\u00e4rz einige Parteien \u00fcber die Schwachstellen und die bevorstehende Offenlegung informiert h\u00e4tten. Intel verschwieg aber Details, was an Informationen an wen herausgegeben wurde. Einige Hersteller waren offenbar immer noch nicht durch Intel informiert worden. Schlie\u00dflich informierte der Sicherheitsforscher Apple am 17. April \u00fcber die siebte Schwachstelle.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sicherheitsforscher haben gerade mehrere Schwachstellen im Thunderbolt 3-Anschluss offen gelegt, \u00fcber die sich Ger\u00e4te ausspionieren lassen. Gleichzeitig haben sie Tools ver\u00f6ffentlicht, \u00fcber die sich unter Linux und Windows pr\u00fcfen l\u00e4sst, ob Ger\u00e4te \u00fcber Thunderspy ausgekundschaftet werden k\u00f6nnen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426],"tags":[4328,8046],"class_list":["post-231533","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","tag-sicherheit","tag-thunderbolt"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/231533","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=231533"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/231533\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=231533"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=231533"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=231533"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}