Ny sårbarhet i Thunderbolt gäller även moderna datorer

Attacken som kallas Thunderspy ger angripare möjlighet att kringgå inloggning och även kryptering, men kräver fysisk åtkomst.

Microsoft förklarade nyligen anledningen till att företaget inte utrustar datorerna i Surface-familjen med Thunderbolt-portar. Angiven anledning är enligt Microsoft att Thunderbolt-teknikens möjlighet att få åtkomst till datorns minne representerar en allt för stor säkerhetsbrist. Nu visar en nederländsk säkerhetsforskare att Microsofts oro är befogad.

Säkerhetsforskaren i fråga är Björn Ruytenberg vid Eindhoven University of Technology som avslöjar att Thunderbolt-portar kan användas för att helt kringgå en dators inloggningsskärm och få åtkomst till dess innehåll, även för en dator som är i viloläge. Angriparen kan också kringgå kryptering av innehåll på enhetens lagringsenheter. Sårbarheten får namnet Thunderspy med en tillhörande webbplats som beskriver angreppsmetoden.

Thunderspy is stealth, meaning that you cannot find any traces of the attack. It does not require your involvement, i.e., there is no phishing link or malicious piece of hardware that the attacker tricks you into using. Thunderspy works even if you follow best security practices by locking or suspending your computer when leaving briefly, and if your system administrator has set up the device with Secure Boot, strong BIOS and operating system account passwords, and enabled full disk encryption. All the attacker needs is 5 minutes alone with the computer, a screwdriver, and some easily portable hardware

I praktiken krävs endast att en angripare får fysisk tillgång till datorn under fem minuters tid. Genom att skruva bort datorns undersida och ansluta en specialiserad hårdvarukrets till kontrollereheten för Thunderbolt får angriparen full åtkomst till datorns innehåll. Detta sker också helt utan att lämna spår efter intrånget, vilket innebär att ägaren kan vara helt omedveten om att intrånget har skett.

En nyckeldel i Thunderbolt-teknikens brister ligger i att dess högre hastigheter uppnås genom att den tillåts direkt åtkomst till datorns primärminne på ett sätt som andra anslutningsmetoder inte får. Under år 2019 påvisade en grupp forskare brister relaterade till detta i vad som gemensamt kallades Thunderclap. Forskarna rekommenderade då att företag använder Thunderbolt-teknikens olika säkerhetsnivåer.

Efter Thunderclap-metoderna blev kända implementerade Intel åtgärder i form av säkerhetsmekanismen Kernel Direct Memory Access (KDMA), vilken introducerades under år 2019. Den metod som Björn Ruytenberg nu presenterar kringgår Thunderbolt-teknikens säkerhetsnivåer, men inte Intels KDMA-teknik. Det innebär att angreppsmetoden kan appliceras på alla Thunderbolt-bestyckade datorer som lanserats före 2019.

Forskargruppen bakom upptäckandet har dock noterat att ett flertal datorer som lanserats under år 2019 eller senare saknar KDMA-säkerheten, och är därmed sårbara för attacken. Datortillverkare med modeller utan KDMA innefattar bland annat Dell, HP och Lenovo. Apples datorer med Thunderbolt-anslutningar uppges inte vara sårbara för attacken.

På webbplatsen för Thunderspy-sårbarheten finns en applikation som analyserar datorn och avgör om den är sårbar för Thunderbolt-attacker. Verktyget kan laddas ned som öppen källkod eller färdiga binära applikationer till Windows eller Linux. Då metoden kräver fysisk åtkomst till datorn och hårdvaruverktyg är detta inte en sårbarhet gemene man behöver oroa sig för, men för företag eller måltavlor för politiskt motiverade attacker är det ett desto större bekymmer.

Läs mer om Thunderbolt:

Skicka en rättelse
64

Apple överger AMD Radeon vid övergången till egna ARM-processorer

I en utvecklargenomgång bekräftar Apple att kommande datorer med bolagets egna ARM-processorer bestyckas med egen grafikteknik. Läs mer

13

Test: Phanteks Eclipse P500A – prisvärt chassi med stomme i världsklass

Jonas tar en titt på Phanteks nya chassi Eclipse P500A, vilket kombinerar högt luftflöde med enkel montering och kabelhantering. Läs mer

25

Lisa Su: "Zen 3-tillverkningen går riktigt bra"

AMD:s VD berättar om barn som döpts till Ryzen och försäkrar återigen om att Ryzen 4000-processorer på Zen 3 inte försenas. Läs mer

24

Ubiquiti marknadsför Unifi Video – ett halvår innan den stängs ned

Plattformen Unifi Video marknadsförs blott en månad före Ubiquiti meddelar att tjänsten stängs ned ett halvår senare. Läs mer

18

AMD följer upp Ryzen-uppdatering med Threadripper Pro

Åtta minneskanaler och upp till 128 kanaler PCI Express kommer i finjusterat paket när AMD uppdaterar Threadripper-familjen. Läs mer

157

Veckans fråga: Har du testat Linux?

Denna vecka undrar vi om ni har testat Linux för privat användning. Hur gick det, och använder ni det fortfarande? Läs mer

13

Intel klargör Thunderbolt 4 inför höstens lanseringar

Med höstens lansering av Tiger Lake-processorerna introduceras också Thunderbolt 4, som garanterar större funktionsutbud än USB 4. Läs mer

51

MSI:s VD Charles Chiang död efter fall från kontorstak

En 20-årig karriär inom MSI når sin ände då VD:n Charles Chiang avlidit i sviterna av ett fall från högkvarterets tak. Läs mer

7

Marknaden för gaminghårdvara växer under det exceptionella året 2020

COVID-19 står bakom en dryg tioprocentig ökning ställt mot år 2019 för helåret 2020 menar analysfirman Jon Peddie Research. Läs mer

130

Test: AMD Ryzen 5 3600XT, Ryzen 7 3800XT och Ryzen 9 3900XT

Som en uppvärmning inför Ryzen 4000 "Vermeer" sjösätter AMD en omgång Ryzen 3000-processorer med aningen uppskruvade frekvenser. Läs mer

37

Samsung lanserar UV Sterilizer för desinfektering av telefoner

USB-C får stryka på foten till förmån av UV-C när Samsung inför en ny laddlåda med trådlös laddning och desinfektion. Läs mer

5

Samsung når genombrott i lovande halvledaren amorf bornitrid

Kandidaterna till till nästa generations halvledarmaterial är många, och Samsung utökar utbudet med genombrottet bornitrid. Läs mer