2412511

Thunderclap: Angriff auf Mac- und PC per Thunderbolt-Gerät

28.02.2019 | 13:24 Uhr | Stephan Wiesend

Sicherheitsforscher warnen: Hacker können Macs per Thunderbolt-Peripherie angreifen. So schützt man sich.

Die Schnittstelle Thunderbolt erfreut sich nicht nur auf dem Mac steigender Beliebtheit, auch auf Windows- und Linux-Rechnern ist sie immer öfter anzutreffen. Stärke der schnellen Schnittstelle Thunderbolt 3 gegenüber USB ist die Unterstützung von PCI Express, sogar der Zugriff auf den Systemspeicher ist möglich, DMA genannt. Das ermöglicht die Nutzung von externen Grafikkarten oder leistungsfähigen Speicherlösungen. Nach Meinung von Sicherheitsspezialisten führt dies allerdings auch dazu, dass sich das System gegenüber den Peripheriegeräten verwundbar macht: Schließt eine Dritter ein präpariertes Thunderbolt-Gerät an, sind verschiedene Angriffe denkbar wie das Auslesen des Arbeitsspeichers und Installieren von Software.

Forscher der Universität Cambridge haben in den letzten Jahren mehrere Angriffsmethoden untersucht und ihre Ergebnisse während des Network and Distributed Systems Security Symposium gerade vorgestellt –  den betroffenen Firmen wie Apple und Microsoft wurden die Informationen übrigens teilweise schon vor Jahren bereitgestellt.

Die Forscher zu denen Theo Markettos, Colin Rothwell, Brett Gutstein, Allison Pearce, Peter Neumann, Simon Moore und Robert Watson gehören, haben eine komplette Plattform für ihre Angriffe entwickelt und ihr den Namen Thunderclap gegeben: Man benötigt für den Angriff eine spezielle Linux-Software namens thunderclap.io, die die Entwickler für Hardwarehersteller und Sicherheitsforscher auf Github veröffentlicht haben und ein kleines Hardwaregerät mit Thunderbolt-Controller, auf dem die Software läuft. Schließt man das Gerät an einen laufenden Rechner an, kann man bei unsicheren Geräten Daten abrufen und Malware installieren. Zugriff auf den Rechner ist erforderlich, etwa wenn das Macbook im Hotel oder Flughafen einige Zeit unbeaufsichtigt ist. In der Praxis könnte man die Angriffe aber auch über eine präparierte Netzwerkkarte oder ein präpariertes Ladegerät durchführen – das etwa in einem Café angeboten wird.

Vor allem älterer Windows-Systeme sind betroffen.
Vergrößern Vor allem älterer Windows-Systeme sind betroffen.
© Thunderclap.io

Wer ist betroffen?

Laut Forschern sind alle Geräte mit Thunderbolt-Schnittstelle betroffen, unabhängig vom Betriebssystem. Auch ältere Macs mit Thunderbolt-1-Schnittstelle kann man angreifen, nicht jedoch das Macbook 12-Zoll mit USB-C-Schnittstellen.

Kein völliger Schutz per IOMMU?

Grundlage der Angriffe ist, dass ein Thunderbolt-Gerät im laufenden Betrieb eingebunden werden kann und direkten Zugriff auf den Speicher des Gerätes erhält, Direct Memory Access genannt. Durch diesen Zugriff kann ein Angriff Daten auslesen, etwa Arbeitsdaten oder Passwörter. Auch das Ausführen von Code, etwa die Installation einer Spyware, ist möglich.

Angriffe per DMA sind nicht neu, schon über die Schnittstelle Firewire gab es zahlreiche Angriffsmethoden. Aktuelle Betriebssysteme beinhalten deshalb eine Schutzfunktion namens IOMMUSs, die den Speicherzugriff von externen Geräten limitiert. Bei macOS ist diese Schutzfunktion seit MacOS 10.8.2 aktiv. Bei Windows und Linux sind sie dagegen als Standard meist deaktiviert – sie reduziert nämlich die Thunderbolt-Performance ein wenig. Vor allem vor 2018 ausgelieferte Rechner mit Windows Pro und Home-Versionen waren gegen DMA-Angriffe völlig ungeschützt und der Zugriff auf den kompletten Arbeitsspeicher ist möglich. Bei Geräten, die ab 2018 ausgeliefert wurden (Ab Windows 1803 gibt es eine Schutzfunktion gegen DMA-Angriffe per Firmware.  Bei Geräten, die ab 2018 ausgeliefert wurden, hat Windows die Schutzfunktion //docs.microsoft.com/en-us/windows/security/information-protection/kernel-dma-protection-for-thunderbolt:Windows 10 Kernel DMA Protection ergänzt. Bei älteren Geräten muss der Schutz allerdings per Firmwareupdate aktiviert werden.

Nur eingeschränkter Schutz per Zugriffskontrolle?

Macs sind aber nicht automatisch sicherer als PCs, so verwendet jedes System andere Zugriffskontrollen. Während bei einem Windows-Rechner etwa jedes neue Thunderbolt-Gerät erst per Pop-Up die Zugriffsberechtigung erteilt werden muss, setzt Apple auf eine sogenannte Whitelist im System: Ein Gerät, das Apple hier aufgeführt hat, wird vom System erkannt und automatisch angemeldet. Es kann auch ohne Bestätigung durch den Benutzer sofort verwendet werden. Ein Angreifer könnte deshalb ein solches Gerät, etwa ein bekanntes Dock von CalDigit präparieren oder vortäuschen.

Angriff als Netzwerkgerät

Laut Forschern gibt es aber trotz IOMMUS einige Schwachstellen, die Hacker ausnutzen können. Gefährlich auch für Macs war eine besondere Angriffsvariante, bei der sich das Thunderbolt-Gerät als Netzwerkadapter ausgibt. Hier waren Angriffe möglich, darunter das Starten von Apps und Lesen von Netzwerktraffic. Apple hat diese Schwachstelle mit der Version 10.12.4 geschlossen.

Den Entwicklern zufolge haben Windows und macOS zwar per IOMMU Schutzvorrichtungen gegen DMA-Angriffe geschaffen, grundsätzlich sei aber in Zukunft mit weiteren Schwachstellen zu rechnen. Interessant: Laut Entwicklern habe ein ungenannter Notebook-Hersteller bisher auf die Nutzung von Thunderbolt-3-Schnittstellen bisher verzichtet, da er die Angriffsmethoden als zu gefährliche Schwachstellen einschätzte.

Wie schützt man sich?

Die Entwickler haben ihre Informationen an Hardware- und Softwarehersteller weitergegeben, wichtig sei für Anwender deshalb vor allem die Installation verfügbarer Sicherheitsupdates. Für völlige Sicherheit wäre laut Forschern eigentlich die Deaktivierung der Thunderbolt-Ports, was aber in der Praxis nicht machbar sei – allein schon um Notebooks aufzuladen. Bei einem PC könnte man aber per Firmware Thunderbolt deaktivieren und eine Docking-Station ohne Thunderbolt nutzen. Generell aber solle man seinen Rechner nicht unbeaufsichtigt lassen und sich von öffentlichen Ladestationen für USB-C fernhalten.

Unsere Meinung:

Die Thunderbolt-Schnittstelle hat offensichtlich Sicherheitslücken, nach unserer Einschätzung gehen die Forscher mit ihrer Empfehlung, auf Thunderbolt komplett zu verzichten, aber etwas zu weit – besonders bei weit weniger gefährdeten Macs. In jedem Fall sollte man aber sein Macbook nicht längere Zeit unbeaufsichtigt lassen und gegenüber verdächtiger Hardware vorsichtig sein – das galt aber auch schon für Hacker-Klassiker wie den USB-Stick, der auf dem Firmenparkplatz herumliegt .

Macwelt Marktplatz

2412511