Thunderclap: Lücke in Thunderbolt klafft in Windows, Linux und macOS

Frank Hüber
52 Kommentare
Thunderclap: Lücke in Thunderbolt klafft in Windows, Linux und macOS

Wissenschaftler haben auf dem „Network and Distributed System Security Symposium“ (NDSS 2019) in San Diego ihre Erkenntnisse zu Schwachstellen der Thunderbolt-Schnittstelle veröffentlicht, die sowohl Windows, Linux als auch macOS angreifbar machen. Sie fassen diese im Fachartikel unter dem Begriff „Thunderclap“ zusammen (PDF).

Demnach ist es über die Peripherie-Schnittstelle, die ursprünglich von Intel und Apple entwickelt wurde, aufgrund eines Designfehlers in der Art und Weise, wie über den Thunderbolt-Anschluss verbundene Geräte mit dem Betriebssystem kommunizieren, für Angreifer möglich, Daten – auch vertrauliche – aus dem Speicher des Geräts auszulesen. Der Fehler liege jedoch bei den Betriebssystemen, da diese per Thunderbolt angeschlossenen Geräten immer vertrauen und sofort ohne Einschränkung einen direkten Zugriff auf den Arbeitsspeicher des Geräts erlauben (Direct Memory Access, DMA), so die Forscher. Über Thunderbolt verbundene Geräte haben so weit umfangreichere Privilegien als etwa USB-Geräte. Mit präparierten Geräten sei es deshalb möglich, auf einem Computer mit Thunderbolt-Anschluss Schadcode einzuschleusen, auszuführen und die Kontrolle über das System zu übernehmen.

Fast kein Betriebssystem bot Schutz

Den Wissenschaftlern der University of Cambridge, Rice University und des SRI International ist es dabei auch möglich, die Sicherheitsfunktion „Input-Output Memory Management Unit“ (IOMMU) zu umgehen, die genau diese Angriffe über DMA schon seit rund 18 Jahren verhindern soll. Bei Thunderbolt ist sie standardmäßig nämlich nicht nur deaktiviert, sondern selbst eine manuelle Aktivierung durch den Nutzer kann von den Forschern umgangen werden, da sich die Speicherbereiche des Angriffs und der Nutzerdaten überschneiden. Darüber hinaus ist eine manuelle Aktivierung nur in Windows 10 Enterprise überhaupt möglich, Windows 7, Windows 8, Windows 10 Home und Pro haben IOMMU für Thunderbolt gar nicht unterstützt. Linux und FreeBSD unterstützen IOMMU zwar, aber nur bei einigen Distributionen ist dies auch aktiviert. Bei macOS ist IOMMU hingegen standardmäßig aktiviert, trotzdem konnten die Forscher mit einem präparierten PCIe-Netzwerkadapter die Tastatureingaben auslesen, da mehrere Geräte auch nicht voreinander geschützt sind.

Die Schwachstelle ist dabei nicht auf eine der insgesamt drei Varianten von Thunderbolt beschränkt, sondern auch im aktuellen Standard Thunderbolt 3 weiterhin vertreten. Aufgrund der umfassenden Möglichkeiten von Thunderbolt 3 könne Schadcode in zahlreichen scheinbar harmlosen Geräten wie Displays oder Ladestationen versteckt werden.

Arbeiten an Patches laufen seit 3 Jahren

Von dem Problem sind mit Ausnahme des 12-Zoll-MacBook beispielsweise alle MacBooks seit 2011 betroffen, die eine Thunderbolt-Schnittstelle besitzen und auch zahlreiche Desktop-PCs, die seit 2016 ausgeliefert wurden und einen derartigen Anschluss besitzen. Seit nunmehr drei Jahren arbeiten die Wissenschaftler deshalb sowohl mit den Entwicklern der Betriebssysteme als auch mit Hardware-Herstellern zusammen, um diese Lücke zu schließen. Bisher jedoch nur mit mäßigem Erfolg, denn viele Computer sollen nach Angaben der Wissenschaftler weiterhin anfällig für Thunderclap sein.

Windows 10 1803 aktiviert IOMMU für Thunderbolt

Microsoft hat beispielsweise reagiert, indem seit Windows 10 Version 1803, das April-Update aus 2018, die Funktion „Kernel DMA Protection“ IOMMU auch für Thunderbolt aktiviert, was allerdings nicht alle Angriffe etwa über PCIe verhindere. Computer, die vor 2018 ausgeliefert wurden, benötigen darüber hinaus jedoch ein Firmware-Update, da die Windows-Funktion in der Firmware unterstützt werden muss, so dass voraussichtlich viele dieser Systeme dauerhaft gegen Thunderclap ungeschützt bleiben werden. Linux soll mit der Kernel-Version 5.0 IOMMU für Thunderbolt aktivieren.

Physischer Zugriff auf das Gerät notwendig

Um einen Angriff über Thunderbolt auszuführen, müssen Angreifer somit aber zumindest kurzfristig physischen Zugriff auf den Computer haben oder dem Nutzer ein entsprechendes Thunderbolt-Gerät zum Anschluss unterjubeln. Sofern dies nicht der Fall sei, sei das Risiko vergleichsweise gering. Könne ein Zugang anderer Personen jedoch nicht ausgeschlossen werden, empfehlen die Wissenschaftler, sofern möglich, die Deaktivierung der Thunderbolt-Anschlüsse im BIOS.