Ny sårbarhet i Thunderbolt gäller även moderna datorer

Attacken som kallas Thunderspy ger angripare möjlighet att kringgå inloggning och även kryptering, men kräver fysisk åtkomst.

Microsoft förklarade nyligen anledningen till att företaget inte utrustar datorerna i Surface-familjen med Thunderbolt-portar. Angiven anledning är enligt Microsoft att Thunderbolt-teknikens möjlighet att få åtkomst till datorns minne representerar en allt för stor säkerhetsbrist. Nu visar en nederländsk säkerhetsforskare att Microsofts oro är befogad.

Säkerhetsforskaren i fråga är Björn Ruytenberg vid Eindhoven University of Technology som avslöjar att Thunderbolt-portar kan användas för att helt kringgå en dators inloggningsskärm och få åtkomst till dess innehåll, även för en dator som är i viloläge. Angriparen kan också kringgå kryptering av innehåll på enhetens lagringsenheter. Sårbarheten får namnet Thunderspy med en tillhörande webbplats som beskriver angreppsmetoden.

Thunderspy is stealth, meaning that you cannot find any traces of the attack. It does not require your involvement, i.e., there is no phishing link or malicious piece of hardware that the attacker tricks you into using. Thunderspy works even if you follow best security practices by locking or suspending your computer when leaving briefly, and if your system administrator has set up the device with Secure Boot, strong BIOS and operating system account passwords, and enabled full disk encryption. All the attacker needs is 5 minutes alone with the computer, a screwdriver, and some easily portable hardware

I praktiken krävs endast att en angripare får fysisk tillgång till datorn under fem minuters tid. Genom att skruva bort datorns undersida och ansluta en specialiserad hårdvarukrets till kontrollereheten för Thunderbolt får angriparen full åtkomst till datorns innehåll. Detta sker också helt utan att lämna spår efter intrånget, vilket innebär att ägaren kan vara helt omedveten om att intrånget har skett.

En nyckeldel i Thunderbolt-teknikens brister ligger i att dess högre hastigheter uppnås genom att den tillåts direkt åtkomst till datorns primärminne på ett sätt som andra anslutningsmetoder inte får. Under år 2019 påvisade en grupp forskare brister relaterade till detta i vad som gemensamt kallades Thunderclap. Forskarna rekommenderade då att företag använder Thunderbolt-teknikens olika säkerhetsnivåer.

Efter Thunderclap-metoderna blev kända implementerade Intel åtgärder i form av säkerhetsmekanismen Kernel Direct Memory Access (KDMA), vilken introducerades under år 2019. Den metod som Björn Ruytenberg nu presenterar kringgår Thunderbolt-teknikens säkerhetsnivåer, men inte Intels KDMA-teknik. Det innebär att angreppsmetoden kan appliceras på alla Thunderbolt-bestyckade datorer som lanserats före 2019.

Forskargruppen bakom upptäckandet har dock noterat att ett flertal datorer som lanserats under år 2019 eller senare saknar KDMA-säkerheten, och är därmed sårbara för attacken. Datortillverkare med modeller utan KDMA innefattar bland annat Dell, HP och Lenovo. Apples datorer med Thunderbolt-anslutningar uppges inte vara sårbara för attacken.

På webbplatsen för Thunderspy-sårbarheten finns en applikation som analyserar datorn och avgör om den är sårbar för Thunderbolt-attacker. Verktyget kan laddas ned som öppen källkod eller färdiga binära applikationer till Windows eller Linux. Då metoden kräver fysisk åtkomst till datorn och hårdvaruverktyg är detta inte en sårbarhet gemene man behöver oroa sig för, men för företag eller måltavlor för politiskt motiverade attacker är det ett desto större bekymmer.

Läs mer om Thunderbolt:

Skicka en rättelse
11

Fredagspanelen 198: Hårdvaruhösten, Amazon till Sverige och ARM-affären

Semestern är över och Fredagspanelen återvänder till rutan med snack om sommarens hårdvarunyheter och inte minst höstens stora lanseringar. Läs mer

37

Intel: "Mobila Comet Lake-H mycket snabbare än AMD Renoir i verkliga tester"

Core i7-10750H är upp till 37 procent snabbare än AMD Ryzen 7 4800H menar Intel, när de visar ett smakprov på "verkliga tester". Läs mer

18

Ett tjugotal Intel "Alder Lake"-konfigurationer skymtas

Den 12:e generationens Intel Core-processorer bjuder in segmenteringsfest när små och stora kärnor kombineras. Läs mer

30

Project Xcloud över Apple App Store skjuts på framtiden

Lanseringen av IOS-versionen av Project Xcloud bromsas då spelströmningstjänsten sägs strida mot Apple Stores villkor. Läs mer

22

Senaste Windows Insider Preview stödjer Android-appar

Förutom emulering av mobilapplikationer förenklas även Windows 10:s hantering av DNS-servrar. Läs mer

81

Microsoft Edge kommer inte gå att avinstallera

Den nya Chromium-baserade versionen av Edge klamrar sig fast i Windows 10 – vare sig du vill eller inte. Läs mer

44

Amazons svenska logistik utgår från Eskilstuna

E-handelsjättens europeiska logistikpartner Kuehne Nagel bekräftar att Eskilstuna logistikpark blir knutpunkten. Läs mer

79

Företagshemligheter från Intel läcker ut på Twitter

Över 20 GB data inklusive bland annat källkoder, utvecklarverktyg och Tiger Lake-ritningar hittar ut i det fria. Läs mer

23

Test: Samsung Galaxy Book S – först ut med Intel Lakefield

Med ett flertal års frånvaro har det blivit dags för Samsung att göra comeback på den bärbara marknaden i Norden. Idag sätter vi tänderna i Galaxy Book S. Läs mer

23

Asrock sjösätter minidatorerna Deskmini H470 och X300

Företagets nya minidatorer erbjuds med både Intel- och AMD-smak, där den sistnämnda stödjer APU:er i Ryzen 4000-serien. Läs mer

68

Sony lanserar WH-1000XM4 – fjärde generationens brusreducerande hörlurar

Förbättrad brusreducering, finpolerad komfort och koppling till flera enheter samtidigt står på menyn hos Sonys senaste lurar. Läs mer

17

Nintendo ökar Switchförsäljning med 166 procent på årsbasis

Nintendo rapporterar ett osedvanligt starkt kvartal och mycket pekar på att Animal Crossing har bidragit till framgången. Läs mer