Thunderspy

Thunderbolt-sårbarheter gjør det mulig å omgå hele Windows-innloggingen

Nederlandsk student har avdekket sju sårbarheter i den maskinvarebaserte teknologien.

Thunderbolt-teknologien er veldig praktisk, men har noen iboende sårbarheter som ikke kan fjernes med programvare. Dette gjelder også Thunderbolt 3.
Thunderbolt-teknologien er veldig praktisk, men har noen iboende sårbarheter som ikke kan fjernes med programvare. Dette gjelder også Thunderbolt 3. (Foto: Tim Herman/Intel Corporation)

Nederlandsk student har avdekket sju sårbarheter i den maskinvarebaserte teknologien.

Nylig skrev Digi.no at Microsoft ikke utstyrer selskapets Surface-enheter med støtte for Thunderbolt-teknologien av sikkerhetsårsaker. Thunderbolt gir tilgang til minnet til PC-en (DMA – Direct Memory Access), og det kan utnyttes på det groveste, dersom noe har fysisk tilgang til enheten.

I helgen kom den nederlandske Björn Ruytenberg, en masterstudent ved Technische Universiteit Eindhoven (TU/e), med et nytt bevis på dette. I løpet av den knapt seks minutter lange, uklipte videoen nedenfor demonstrerer han hvordan greier å logge seg inn på en Windows 10-basert PC uten å kjenne passordet til brukeren, ved først å deaktivere den innebygde sikkerheten i Thunderbolt, for deretter å overskrive systemminnet slik at Windows 10 ikke ber om passordet til brukeren under innloggingen.

Dermed får han full tilgang til brukerkontoen, selv om PC-en er satt opp med Secure Boot, sterke passord for både BIOS og operativsystemet, samt full diskkryptering.

Les også

Ikke direkte avhengig av operativsystemet

Angrepsteknikken, som Ruytenberg har gitt navnet Thunderspy, er ikke begrenset til Windows. I alt har han funnet sju ulike sårbarheter i alle nåværende utgaver av Thunderbolt. Windows- og Linux-baserte systemer er sårbare fem av disse, mens MacOS har ekstra sikkerhet som gjør systemet bare delvis berørt av to av de sju sårbarhetene. Dette er nærmere beskrevet i forskningsrapporten.

Masterstudent Björn Ruytenberg ved Technische Universiteit Eindhoven.
Masterstudent Björn Ruytenberg ved Technische Universiteit Eindhoven har oppdaget flere sårbarheter i Thunderbolt-teknologien. Foto: Technische Universiteit Eindhoven

Fra 2019 har en god del PC-er blitt levert med en teknologi kalt Kernel DMA Protection, som begrenser mulighetene for å utnytte sårbarhetene som Ruytenberg har oppdaget.

Selv om hackingen er temmelig raskt gjort, krever både egen maskinvare og programvare. I videoen nedenfor ser man at Ruytenberg først tar av dekselet på en bærbare PC og kobler til maskinvare som kan overskrive fastvaren til Thunderbolt-kontrolleren, slik at sikkerhetsnivået settes i 0. Det betyr at all sikkerhet deaktiveres. Det er denne prosessen som tar lengst tid.

Deretter kobler Ruytenberg til en Thunderbolt-basert angrepsenhet som kan skrive en kjernemodul inn i minnet til laptopen. Dermed deaktiveres passordkontrollen i Windows 10.

Saken fortsetter under videoen.

Trolig enkelt å gjenskape

Programvaren som Ruytenberg selv har utviklet i forbindelse med Thunderspy, er tilgjengelig som åpen kildekode. I tillegg bruker han flere verktøy som allerede er tilgjengelige, inkludert en maskinvareenhet kalt Bus Pirate.

Mye tyder derfor på at det bør være mulig for mange å gjenskape angrepet Ruytenberg demonstrerer.

Ruytenberg og hans veiledere skal første gang har kontaktet Intel om sårbarhetene den 10. februar. Innen den 17. mars hadde Intel bekreftet seks av sårbarhetene. Den sjuende sårbarheten er knyttet til Mac-teknologien Boot Camp. Apple ble informert om sårbarheten den 17. april.

Les også

Krever ny maskinvare

Ruytenberg mener at ingen av sårbarhetene lar seg fjerne ved hjelp av programvare. Det må altså redesign av maskinvaren til. Det betyr at de aller fleste PC-er som er levert med Thunderbolt-støtte siden 2011, vil være sårbare for Thunderspy-angrep inntil de kasseres.

Anbefalingen fra Ruytenberg er at brukere som ikke har behov for Thunderbolt-støtte, deaktivere dette i BIOS/UEFI. Dette gjør at porten(e) i beste fall kun kan brukes til strømforsyning.

Ruytenberg har også lagd et verktøy kalt Spycheck. Dette er tilgjengelig for Windows og Linux og skal kunne fortelle brukeren om PC-en de kjøres på er sårbar for Thunderspy-angrep.

Funnene til Ruytenberg skal bli presentert under hackerkonferansen Black Hat USA 2020, som arrangeres i begynnelsen av august. På grunn av koronapandemien vil dette i år kun være et virtuelt arrangement.

Les også

Kommentarer (3)

Kommentarer (3)
Til toppen