ComputerBase Menü
Aktuelles

News Thunderspy: Sicherheitslücken in allen Thunderbolt-Generationen

Firewire hatte doch genau die gleichen Probleme. DMA für die Performance und keinerlei Sorgen über die damit geschaffenen Löcher machen.

Dass man die gleiche Technik wieder hernimmt und nicht mal die schon längst durchgekauten Lehren daraus zu Herzen nimmt, zeigt, wie die bei Intel arbeiten und was die von den Kunden denken.
 
  • Gefällt mir
Reaktionen: LukS, Rockstar85 und DaVinz
SIR_Thomas_TMC schrieb:
Weiter hat man herausgefunden, dass man mit physischem Zugang zum Fahrzeuginneren durch einfachem Zug an einem Hebel die Motorhaube öffnen kann und dort Manipulationen vornehmen kann, die dem Benutzer erstmal nicht auffallen werden.
Zum Vergrößern anklicken....

Natürlich hast du Recht, aber im Auto sind selten Firmengeheimnisse gespeichert oder man veranlasst darüber Überweisungen.
 
geht ja nur wenn das Gerät läuft? Wie sieht es mit Ruhezustand aus? Kann man das nicht im Betriebssystem patchen, dass bei Ruhezustand der RAM in einer VM gesichert wird?

mit diesem DMA ab 2019 also keine Probleme mehr?
 
FX-Multimedia schrieb:
Da physikalischer Zugriff notwendig ist kann man das eigentlich getrost ignorieren
Zum Vergrößern anklicken....
Man muss nur 5 Minuten das Gerät unbeaufsichtigt lassen (aufs Klo gehen) und schon ist es fürs Leben kompromittiert. Das Fatale dabei ist, man meint man fühlt sich sicher, weil man physikalische Zugriffe ignorieren kann und lügt sich damit in die Tasche.
 
  • Gefällt mir
Reaktionen: LukS, stevefrogs und jemandanders
Testa2014 schrieb:
Wenn schon jemand den Rechner aufschrauben kann, da kann derjenige auch gleich noch ganz anderen Schabernack damit treiben.
Zum Vergrößern anklicken....
Wenn die Besitzer der Geräte Sicherheitsmaßnahmen nach Stand der Technik anwenden, hilft physischer Zugriff ohne Lücken wie die vorgestellte sehr wenig.

LuckyMagnum schrieb:
Korrekt. Jeder Laie kann an den internen USB-Anschlüssen Geräte zur Aufzeichnung jeglicher Aktivität anschließen. Eine Sicherheitslücke ist für mich Etwas, was man nutzen kann, ohne physischen Zugriff auf den PC zu haben.
Zum Vergrößern anklicken....
Weswegen man ja mehrere Faktoren zur Absicherung vorsieht und nicht nur Passwörter, die man über die Tastatur einhackt. Ein solchen Faktor kann man in das TPM eines Gerätes einlagern und oder durch externe Verfahren bewerkstelligen. Das Abhören von Passwörtern ist damit fast komplett egal. Einen entsprechenden Vollzugriff auf den Arbeitsspeicher hingegen eröffnet selbst da Möglichkeiten.

leipziger1979 schrieb:
Was für ein Schwachsinn!
[...]
Dann ist es auch eine Sicherheitslücke das man bei jedem Mainboard mit BIOS Passwort dieses Passwort zurücksetzen kann indem man die Batterie rausnimmt.
Zum Vergrößern anklicken....
Eine gescheite Absicherung erfolgt ja auch indem man TPM verwendet. Da sind Angriffe nur wenige Größenordnungen komplexer als ein Batteriewechsel.

DrillSgtErnst schrieb:
Also Mal ganz im Ernst.
Ich halte die Lücke nicht für Überdramatisch.
Zum Vergrößern anklicken....
Wirtschaftsspionage leicht gemacht. Das Gerät wird wenn es mal unbeaufsichtigt ist modifiziert und kann ab da jederzeit angegriffen werden indem ein Thunderbolt Gerät gesteckt wird. In vielen Ländern wird sich das Handgepäck am Flughafen genauer angeschaut und das ohne Beisein der Besitzer. Der dargestellte Angriff ist dazu geeignet die aller meisten Sicherhungsmaßnahmen von Unternehmen zu unterlaufen.
Ergänzung ()

icetom schrieb:
geht ja nur wenn das Gerät läuft? Wie sieht es mit Ruhezustand aus? Kann man das nicht im Betriebssystem patchen, dass bei Ruhezustand der RAM in einer VM gesichert wird?

mit diesem DMA ab 2019 also keine Probleme mehr?
Zum Vergrößern anklicken....
Wenn da Firmware vom SPI-Flash modifiziert wird, ist die Gefahr groß, dass die Modifikation zu jedem Zeitpunkt erfolgen kann und persistent ist.
 
  • Gefällt mir
Reaktionen: LukS, Zwenki, stevefrogs und 2 andere
icetom schrieb:
geht ja nur wenn das Gerät läuft? Wie sieht es mit Ruhezustand aus? Kann man das nicht in Windows patchen, dass bei Ruhezustand der RAM gelöscht/gesichert in einer VM wird?
Zum Vergrößern anklicken....

Beim Ruhezustand wird der Inhalt des RAMs auf die Festplatte geschrieben. 3x darfst du raten was passiert, wenn du den RAM vorher löschst ^^
 
DKK007 schrieb:
Tut er nicht, denn wenn das Gerät aus ist, sind keine Daten mehr im RAM sind, die sich per DMA auslesen ließen.
Zum Vergrößern anklicken....
kenne kaum jemanden der seinen Laptop ständig runterfährt - wer es produktiv unterwegs nutzt benutzt meistens Standby - also Suspend to RAM -> ergo alle Daten im RAM...
 
@Piktogramm

Du hast ja Recht. Ich sage ja auch im Nachhinein, dass es unschön ist. Aber es ist keine 08/15 Standardsache.
Ich denke da hat Intel gravierendere, von extern zu Nutzende Lücken.
 
icetom schrieb:
geht ja nur wenn das Gerät läuft? Wie sieht es mit Ruhezustand aus? Kann man das nicht im Betriebssystem patchen, dass bei Ruhezustand der RAM in einer VM gesichert wird?
Zum Vergrößern anklicken....

Im Ruhezustand wird der RAM-Inhalt auf die Festplatte geschrieben. In die Hiberfile.sys.
Es reicht also, wenn man diese ausließt, nachdem ein Image von der Festplatte erstellt wurde.
 
@DrillSgtErnst
Mir ist keine sonstige Lücke bekannt, die mit deutlich über 1GB/s Haupspeicher frei lesen und gegebenenfalls schreiben lässt. Dagegen sind Meltdown und Spectre überwiegend Kindergeburtstag.

@DKK007
An der Stelle sollte dazu geraten werden, dass die Leute doch bitte ihren Festspeicher verschlüsseln. Sowohl mit der Hardwareverschlüsselung des Laufwerkes unter Nutzung vom TPM als auch via Software.
 
  • Gefällt mir
Reaktionen: DrillSgtErnst
Piktogramm schrieb:
Wirtschaftsspionage leicht gemacht. Das Gerät wird wenn es mal unbeaufsichtigt ist modifiziert und kann ab da jederzeit angegriffen werden indem ein Thunderbolt Gerät gesteckt wird. In vielen Ländern wird sich das Handgepäck am Flughafen genauer angeschaut und das ohne Beisein der Besitzer. Der dargestellte Angriff ist dazu geeignet die aller meisten Sicherhungsmaßnahmen von Unternehmen zu unterlaufen.
Zum Vergrößern anklicken....

Da kann man aber für den Transport Thunderbolt einfach ausschalten.
 
@Weedlord Ich wollte gar nicht in die Richtung spekulieren, wer da zahlt und wer nicht. Intel wäre bei der jahrelangen schlechten PR jedenfalls dumm, nicht ein paar Leute, ggf. im eigenen Unternehmen angestellt, nach Sicherheitslücken suchen zu lassen. Dass da keiner sucht weil pro Lücke dann keine Peanuts ausgeschüttet werden (gemessen daran, wie viele Leute wie lange nach sowas suchen) halte ich für sehr unwahrscheinlich.
 
5 Minuten physikalischer Zugriff und das Gerät ist verschwunden. Ein echter David Copperfield.
 
  • Gefällt mir
Reaktionen: SIR_Thomas_TMC und Onkel Föhn
DKK007 schrieb:
Da kann man aber für den Transport Thunderbolt einfach ausschalten.
Zum Vergrößern anklicken....
Die Sicherheit davon abhängig zu machen, dass Angestellte Systemeinstellungen zum entsprechendem Zeitpunkt richtig setzen?
Die Kollegen mit den schwarzen Hüten mögen dein Sicherheitskonzept!
 
Bei uns auf der Arbeit sind sämtliche Schnittstellen deaktiviert und funktionieren nur im Firmennetzwerk per LAN oder WLAN. Da aber auch nur der VPN und dann Remote Desktop.

Zusätzlich ist das Ding per Yubi-Key und Festplattenverschlüsselung gesichert. Sofern 60 Tage keine Verbindung zum Firmennetz besteht werden alle Daten gelöscht.
Ich denke mal das sollten alle Firmen-Rechner drauf haben. Allein um eine Kompromittierung des Firmennetzwerks zu vermeiden.

Bei uns sperren die auch regelmäßig den IE bzw. Wlan wenn Schwachstellen öffentlich werden.
Daher sehe ich das Risiko für wirklich sensible Daten bei sowas immer sehr gering.
 
DKK007 schrieb:
Im Ruhezustand wird der RAM-Inhalt auf die Festplatte geschrieben. In die Hiberfile.sys.
Es reicht also, wenn man diese ausließt, nachdem ein Image von der Festplatte erstellt wurde.
Zum Vergrößern anklicken....
Und der Quantencomputer um die HDD-Verschlüsselung zu brechen ist auch deutlich einfacher zu bekommen als der Schraubendreher der für diesen Angriff hier benötigt wird...
 
Ich denke dass man die gefundenen Probleme in Thunderbolt nicht unterschätzen darf.
Sicher, die Hürde für einen Angriff ist durch den physischen Zugriff deutlich höher.
Ja, man muss das Gerät aufschrauben und ja, man braucht extra Hardware um den Angriff durchzuführen.
Was aber Thunderspy gut aufzeigt ist das "kaputte Sicherheitskonzept" von Thunderbolt.
Das ganze lässt sich ja nicht patchen oder durch eine neue Revision vom Controller erledigen, das sind grundlegende Probleme die die nächste Iteration von Thunderbolt beheben könnte.
Ich zitiere mal von der thunderspy Webside:
We present Thunderspy, a series of attacks that break all primary security claims for Thunderbolt 1, 2, and 3. So far, our research has found the following vulnerabilities:

  1. Inadequate firmware verification schemes
  2. Weak device authentication scheme
  3. Use of unauthenticated device metadata
  4. Downgrade attack using backwards compatibility
  5. Use of unauthenticated controller configurations
  6. SPI flash interface deficiencies
  7. No Thunderbolt security on Boot Camp
Zum Vergrößern anklicken....
Ferner:
  • Systems purchased before 2019:
    No fix is available. For recommendations on how to help protect your system, please refer to protections against Thunderspy.


    Systems purchased in or after 2019:
    Your system might support Kernel DMA Protection, which partially mitigates Thunderspy. For instructions on how to verify whether your system ships this protection, please refer to Kernel DMA Protection.
Zum Vergrößern anklicken....

Demnach verstehe ich das so dass Thunderbolt 1,2, und 3 grundsätzlich mal kaputt ist und DMA Protection helfen kann, aber

Thunderbolt device compatibility

Please note that enabling Kernel DMA Protection is known to cause compatibility issues with a number of Thunderrbolt peripherals.
Zum Vergrößern anklicken....
Quelle: https://thunderspy.io/

These und Persönliche Einschätzung: Thunderbolt wurde mit dem Fokus auf Performance entwickelt und Sicherheitsprobleme nicht erkannt oder ignoriert. Warum man bis 2019 eine Schnittstelle verbaut die überhaupt DMA hat ist mir ein Rätsel nachdem es schon mit Firewire Probleme gab.

Update:
Apple hatte schon mal Probleme mit Thunderbolt, das konnte man aber per Firmware Update lösen soweit ich mich erinnern kann:
YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
 
Piktogramm schrieb:
Die Sicherheit davon abhängig zu machen, dass Angestellte Systemeinstellungen zum entsprechendem Zeitpunkt richtig setzen?
Die Kollegen mit den schwarzen Hüten mögen dein Sicherheitskonzept!
Zum Vergrößern anklicken....

Allein Angestellte sind schon ein Sicherheitsrisiko.
Das größte Sicherheitsrisiko ist immer noch der Mensch.
 
deo schrieb:
Man muss nur 5 Minuten das Gerät unbeaufsichtigt lassen (aufs Klo gehen) und schon ist es fürs Leben kompromittiert. Das Fatale dabei ist, man meint man fühlt sich sicher, weil man physikalische Zugriffe ignorieren kann und lügt sich damit in die Tasche.
Zum Vergrößern anklicken....

Bringt den Attacker aber doch auch nicht viel. Wenn ich das recht auf der Webseite sehe, was da demonstriert wird, ermöglicht die modifizierte Firmware komplett die Security von Thunderbolt auszuhebeln und es wird sofort verbunden. Korrigiert mich wenn ich falsch liege, also muss aber, um den Speicher dann auszulesen, nochmals physikalischer Zugang da sein um ein Thunderboltgerät anzustecken um besagten Speicherzugriff zu erhalten...
 
Betrifft das Problem jetzt auch den neuen Standard USB 4.0, der ja auf Thunderbolt aufbauen soll?
 
  • Gefällt mir
Reaktionen: DrillSgtErnst
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Volker
News Intel Thunderbolt Share: Praktische Teilen-Funktion setzt keinen neuen Chip voraus
2 3
Antworten
58
Aufrufe
4.282
Ray519
R
t0oastaa
Suche USB-C oder Thunderbolt Gehäuse für WD_BLACK SN850X 4TB
Antworten
3
Aufrufe
850
Cebo
Cebo
tarifa
Kritische Sicherheitslücken in Cisco Switches - Exploit-Code öffentlich - (CERT-Warnung)
Antworten
2
Aufrufe
837
tarifa
tarifa
M
News März-Update für Android: Google schließt Sicherheitslücken auf der Pixel-6-Serie
2 3
Antworten
58
Aufrufe
8.092
LucLeto
LucLeto
SVΞN
News Thunderbird 102.6.0: Mozilla behebt Probleme und schließt Sicherheitslücken
2
Antworten
20
Aufrufe
3.826
sPeziFisH
sPeziFisH

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz