Thunderclap: Macs und PCs anfällig für bösartige Thunderbolt-Peripherie
Bestehende Schutzmechanismen reichen laut Sicherheitsforschern nicht aus, um Angriffe über USB-C-Peripherie abzuwehren.
Thunderbolt ist an (fast) jedem Mac seit 2011 zu finden – inzwischen in Gestalt von Thunderbolt 3 (USB-C).
(Bild: Apple)
Macs und PCs mit Thunderbolt-Anschlüssen sind angeblich unzureichend vor Angriffen mit manipulierter Peripherie geschützt: Selbst harmlos wirkende USB-C-Peripherie – etwa Ladegeräte und Beamer – sei so in der Lage, Schwachstellen auszunutzen, sobald sie angeschlossen wird. Dies gelte neben Thunderbolt auch für PCI-Express-Peripherie. Nach Angaben der Forscher sind alle Computer mit Thunderbolt-Anschlüssen betroffen: Darunter fallen alle Apple Macs ab Baujahr 2011 (mit Ausnahme des 12" MacBook, das zwar auf USB-C setzt, aber bislang ohne Thunderbolt auskommt) sowie neuere PCs. Sowohl Windows als auch macOS, Linux, und FreeBSD seien potenziell verwundbar.
Erste Gegenmaßnahmen der Hersteller
Die Forscher haben nach eigenen Angaben die Schwachstellen schon 2016 an Hersteller gemeldet und mit diesen bei der Entwicklung von Gegenmaßnahmen zusammengearbeitet: Apple aktiviere die Speicherverwaltung IOMMU jetzt standardmäßig und habe eine besonders schwere Schwachstelle, die das Erlangen einer Root-Shell durch Anstöpseln einer Netzwerkkarte erlaubte, bereits mit macOS 10.12.4 geschlossen, schreiben die Forscher. Thunderbolt-Geräte hätten aber weiterhin Zugriff auf "sämtlichen Netzwerkverkehr und manchmal auch Tastatureingaben sowie Framebuffer-Inhalte".
Microsoft habe IOMMU-Support für Thunderbolt-Hardware erst 2018 in Windows 10 Version 1803 integriert, ältere PC-Hardware benötige dafür aber eine Firmware-Aktualisierung durch den jeweiligen Hersteller, erläutern die Wissenschaftler. Zudem seien "komplexere Schwachstellen" dadurch nicht behoben. Von Intel bereitgestellte Patches sollen IOMMU für Thunderbolt im Linux-Kernel in Kürze aktivieren. FreeBSD unterstütze ein Hotplugging von Thunderbolt-Geräten derzeit nicht und habe manipulierte Peripherie deshalb noch nicht als Sicherheitsproblem berücksichtigt, merken die Wissenschaftler an.
Schutzmechanismen angeblich unzureichend
Zwar wird der Speicherdirektzugriff (Direct Memory Access, DMA) von angeschlossener Thunderbolt-Hardware durch die Speicherverwaltung IOMMU (I/O Memory Management Unit) eingeschränkt, doch sei der Schutzmechanismus in der Standardeinstellung oft nicht aktiviert und könne zudem nicht alle Angriffe verhindern, wie Sicherheitsforscher der Universität Cambridge und Rice University in einem Paper ausführen. Die Betriebssysteme gäben trotz IOMMU unabsichtlich Datenstrukturen gegenüber der angeschlossenen Peripherie preis – hier dürften sich weitere Schwachstellen aufspüren lassen.
Um sich "komplett zu schützen", helfe nur eine Deaktivierung der Thunderbolt-Ports, schreiben die Forscher, doch sei dies wenig praktikabel, wenn der Computer etwa auch über USB-C geladen wird und mit externer Hardware verwendet werden soll. Wenn möglich, könne man aber Thunderbolt in den Firmware-Settings abschalten oder sollte sicherheitshalber darauf verzichten, unbekannte Peripherie anzustöpseln sowie die eigenen Geräte unbeaufsichtigt zu lassen.
Zur Auffinden der Schwachstellen setzten die Forscher auf die hauseigene Thunderclap-Plattform, die auf einem Intel/Altera-FPGA läuft. Die Plattform steht nun als quelloffenes Projekt zum Download bereit, um anderen Sicherheitsforschern deren Einsatz und Erweiterung zu ermöglichen. (lbe)
