Nyhet

Thunderbolt-porten kan la en angriper låse opp PC-en din på fem minutter

USB-C-porten på PC-en din kan ha støtte for Thunderbolt-teknologien. I tilfelle vil den høyst sannsynlig være sårbar for et ganske kritisk angrep som har fått navnet Thunderspy.

Fysisk tilgang til Thunderbolt-porten på PC-en din kan gjøre at en angriper kan få full tilgang til alle dataene på maskinen. Det offentliggjorde forsker Björn Ruytenberg ved universitetet i Eindhoven nylig.

Teknikken krever riktignok at angriperen i mange tilfeller må skru av bakplata på PC-en og plugge inn en enhet som reprogrammerer fastvaren i Thunderbolt-porten, men hele prosessen skal ta under fem minutter, ifølge Ruytenberg.

Vanskelig å oppdage

Fastvareoppdateringen vil i tillegg kunne permanent skru av sikkerhetsmekanismene i Thunderbolt-porten, samt blokkere alle fremtidige fastvareoppgraderinger - uten at det er lett å oppdage fra operativsystemet. Ruytenberg har kalt problemet «Thunderspy», og utstyret han bruker i angrepet er bredt tilgjengelig.

– Jeg analyserte fastvaren og fant at den inneholder sikkerhetsnivået til kontrolleren. Så laget jeg metoder for å endre dette sikkerhetsnivået til «ingen» - i praksis å skru av all sikkerhet, sier Ruytenberg til Wired.

I en Youtube-video demonstrerer han hvordan angrepet fungerer:

Maskiner fra 2011 og nyere

I hovedsak er det maskiner produsert før 2019 som er utsatte. Etter et liknende sikkerhetsproblem kalt Thunderclap i fjor, lagde nemlig Intel (som står bak Thunderbolt-standarden) en sikkerhetsmekanisme kalt Kernel Direct Memory Access Protection, som forhindrer angrepsteknikken Ruytenberg bruker.

Denne skal ifølge selskapet ha blitt implementert i både Windows, Linux og MacOS i fjor, og de skriver i et blogginnlegg at Ruytenbergs team ikke var i stand til å angripe systemer med disse oppdateringene aktivert.

Kernel DMA Protection er imidlertid ikke å finne på alle maskiner. Thunderspy-teamet sier de ikke fant noen Dell-maskiner med Kernel DMA Protection, og kun noen veldig få HP- og Lenovo-maskiner fra 2019 eller senere. Dell sier imidlertid til The Verge at dette ikke er riktig, og at de i 2019 begynte å levere maskiner med Kernel DMA Protection så lenge SecureBoot er aktivert.

Ruytenberg sier på sin side at sårbarhetene han fant har å gjøre med Intels maskinvare og ikke kan fikses med en enkel programvareoppdatering. Sikkerhetsutfordringene er også grunnen til at Microsofts Surface-maskiner ikke er utstyrt med Thunderbolt, har selskapet fortalt.

MacBook-maskiner med USB-C støtter Thunderbolt, men MacOS har en egen beskyttelse mot Thunderspy og liknende angrep.

Slik kan du sjekke

Windows- og Linux-maskiner er begge sårbare, mens maskiner med MacOS bare er delvis omfattet, ifølge Ruytenberg. MacOS har nemlig et eget sikkerhetssystem for Thunderbolt-porten som erstatter et av systemene som utnyttes i angrepsmetoden, noe som i praksis stopper angrepet før det blir alvorlig. Det betyr også at MacBook-maskiner som kjører andre operativsystemer gjennom for eksempel Boot Camp er sårbare.

Den eneste måten å forhindre et slikt Thunderbolt-angrep er ifølge Ruytenberg å deaktivere Thunderbolt i maskinens BIOS, aktivere harddiskkryptering og skru av datamaskinen hver gang man forlater den.

Han har laget et lite program kalt Spycheck som forteller deg om maskinen din er sårbar.

annonse