Forscher demonstriert Thunderspy - Tool für heimliche Hardware-Attacken via Thunderbolt

Der Sicherheitsforscher Björn Ruytenberg demonstriert in einem Video, wie man die Thunderbolt-Schnittstelle für Attacken gegen einen PC ausnutzen kann. Mit dem Tool Thunderspy gelang es ihm unerkannt und recht schnell alle Sicherheitsmechanismen von Thunderbolt zu umgehen und den Speicher eines PCs auszulesen, selbst wenn dieser noch im Anmeldebildschirm hing.

Das Tool macht sich gleich 7 Schwachstellen von Thunderbolt zunutze und erlaubt dem Angreifer, sofern dieser physischen Zugang zum PC besitzt, den Thunderbolt-Controller permanent umzuprogrammieren. Dadurch erhält der Angreifer direkten Zugang zum Arbeitsspeicher ohne jeglichen Sicherheitsabfragen.

Ruytenberg mahnt an, dass alle mit Thunderbolt bestückten Geräte, welche von 2011 bis zum laufenden Jahr ausgeliefert wurden, von der Schwachstelle betroffen seien. Systeme mit Kernel DMA Protection, seit 2019 ausgeliefert, würden einen gewissen Schutz bieten, seien aber ebenfalls unsicher, wenn auch nur teilweise. Beispielsweise wären bei einem Apple Mac alle Thunderbolt-Sicherheitsmaßnahmen deaktiviert, sobald dieser in Bootcamp bootet.

Das Problem ist groß: Die Schwachstellen seien nicht per Software zu fixen und würden auch die zukünftige USB-4 und Thunderbolt-4-Schnittstellen beeinträchtigen. Ein komplettes Redesign auf Silicon-Ebene sei notwendig. Ruytenberg bietet ein Open-Source-Tool namens Spycheck, welches den eigenen PC auf Anfälligkeit gegen Thunderspy testet und dann Vorsichtsmaßnahmen und Tipps anbietet, wobei sich diese vorwiegend darauf beziehen den eigenen PC vor Fremdzugriffen zu schützen.