Tek.no

Nyhet

Thunderbolt-porten kan la en angriper låse opp PC-en din på fem minutter

USB-C-porten på PC-en din kan ha støtte for Thunderbolt-teknologien. I tilfelle vil den høyst sannsynlig være sårbar for et ganske kritisk angrep som har fått navnet Thunderspy.
Kurt Lekanger, Tek.no
13 Mai 2020 08:37

Fysisk tilgang til Thunderbolt-porten på PC-en din kan gjøre at en angriper kan få full tilgang til alle dataene på maskinen. Det offentliggjorde forsker Björn Ruytenberg ved universitetet i Eindhoven nylig.

Teknikken krever riktignok at angriperen i mange tilfeller må skru av bakplata på PC-en og plugge inn en enhet som reprogrammerer fastvaren i Thunderbolt-porten, men hele prosessen skal ta under fem minutter, ifølge Ruytenberg.

Vanskelig å oppdage

Fastvareoppdateringen vil i tillegg kunne permanent skru av sikkerhetsmekanismene i Thunderbolt-porten, samt blokkere alle fremtidige fastvareoppgraderinger - uten at det er lett å oppdage fra operativsystemet. Ruytenberg har kalt problemet «Thunderspy», og utstyret han bruker i angrepet er bredt tilgjengelig.

– Jeg analyserte fastvaren og fant at den inneholder sikkerhetsnivået til kontrolleren. Så laget jeg metoder for å endre dette sikkerhetsnivået til «ingen» - i praksis å skru av all sikkerhet, sier Ruytenberg til Wired.

I en Youtube-video demonstrerer han hvordan angrepet fungerer:

Maskiner fra 2011 og nyere

I hovedsak er det maskiner produsert før 2019 som er utsatte. Etter et liknende sikkerhetsproblem kalt Thunderclap i fjor, lagde nemlig Intel (som står bak Thunderbolt-standarden) en sikkerhetsmekanisme kalt Kernel Direct Memory Access Protection, som forhindrer angrepsteknikken Ruytenberg bruker.

Denne skal ifølge selskapet ha blitt implementert i både Windows, Linux og MacOS i fjor, og de skriver i et blogginnlegg at Ruytenbergs team ikke var i stand til å angripe systemer med disse oppdateringene aktivert.

Kernel DMA Protection er imidlertid ikke å finne på alle maskiner. Thunderspy-teamet sier de ikke fant noen Dell-maskiner med Kernel DMA Protection, og kun noen veldig få HP- og Lenovo-maskiner fra 2019 eller senere. Dell sier imidlertid til The Verge at dette ikke er riktig, og at de i 2019 begynte å levere maskiner med Kernel DMA Protection så lenge SecureBoot er aktivert.

Ruytenberg sier på sin side at sårbarhetene han fant har å gjøre med Intels maskinvare og ikke kan fikses med en enkel programvareoppdatering. Sikkerhetsutfordringene er også grunnen til at Microsofts Surface-maskiner ikke er utstyrt med Thunderbolt, har selskapet fortalt.

MacBook-maskiner med USB-C støtter Thunderbolt, men MacOS har en egen beskyttelse mot Thunderspy og liknende angrep.
Anders Brattensborg Smedsrud, Tek.no

Slik kan du sjekke

Windows- og Linux-maskiner er begge sårbare, mens maskiner med MacOS bare er delvis omfattet, ifølge Ruytenberg. MacOS har nemlig et eget sikkerhetssystem for Thunderbolt-porten som erstatter et av systemene som utnyttes i angrepsmetoden, noe som i praksis stopper angrepet før det blir alvorlig. Det betyr også at MacBook-maskiner som kjører andre operativsystemer gjennom for eksempel Boot Camp er sårbare.

Den eneste måten å forhindre et slikt Thunderbolt-angrep er ifølge Ruytenberg å deaktivere Thunderbolt i maskinens BIOS, aktivere harddiskkryptering og skru av datamaskinen hver gang man forlater den.

Han har laget et lite program kalt Spycheck som forteller deg om maskinen din er sårbar.

annonse

Les også