Microsoft förklarade nyligen anledningen till att företaget inte utrustar datorerna i Surface-familjen med Thunderbolt-portar. Angiven anledning är enligt Microsoft att Thunderbolt-teknikens möjlighet att få åtkomst till datorns minne representerar en allt för stor säkerhetsbrist. Nu visar en nederländsk säkerhetsforskare att Microsofts oro är befogad.
Säkerhetsforskaren i fråga är Björn Ruytenberg vid Eindhoven University of Technology som avslöjar att Thunderbolt-portar kan användas för att helt kringgå en dators inloggningsskärm och få åtkomst till dess innehåll, även för en dator som är i viloläge. Angriparen kan också kringgå kryptering av innehåll på enhetens lagringsenheter. Sårbarheten får namnet Thunderspy med en tillhörande webbplats som beskriver angreppsmetoden.
Thunderspy is stealth, meaning that you cannot find any traces of the attack. It does not require your involvement, i.e., there is no phishing link or malicious piece of hardware that the attacker tricks you into using. Thunderspy works even if you follow best security practices by locking or suspending your computer when leaving briefly, and if your system administrator has set up the device with Secure Boot, strong BIOS and operating system account passwords, and enabled full disk encryption. All the attacker needs is 5 minutes alone with the computer, a screwdriver, and some easily portable hardware
I praktiken krävs endast att en angripare får fysisk tillgång till datorn under fem minuters tid. Genom att skruva bort datorns undersida och ansluta en specialiserad hårdvarukrets till kontrollereheten för Thunderbolt får angriparen full åtkomst till datorns innehåll. Detta sker också helt utan att lämna spår efter intrånget, vilket innebär att ägaren kan vara helt omedveten om att intrånget har skett.
En nyckeldel i Thunderbolt-teknikens brister ligger i att dess högre hastigheter uppnås genom att den tillåts direkt åtkomst till datorns primärminne på ett sätt som andra anslutningsmetoder inte får. Under år 2019 påvisade en grupp forskare brister relaterade till detta i vad som gemensamt kallades Thunderclap. Forskarna rekommenderade då att företag använder Thunderbolt-teknikens olika säkerhetsnivåer.
Efter Thunderclap-metoderna blev kända implementerade Intel åtgärder i form av säkerhetsmekanismen Kernel Direct Memory Access (KDMA), vilken introducerades under år 2019. Den metod som Björn Ruytenberg nu presenterar kringgår Thunderbolt-teknikens säkerhetsnivåer, men inte Intels KDMA-teknik. Det innebär att angreppsmetoden kan appliceras på alla Thunderbolt-bestyckade datorer som lanserats före 2019.
Forskargruppen bakom upptäckandet har dock noterat att ett flertal datorer som lanserats under år 2019 eller senare saknar KDMA-säkerheten, och är därmed sårbara för attacken. Datortillverkare med modeller utan KDMA innefattar bland annat Dell, HP och Lenovo. Apples datorer med Thunderbolt-anslutningar uppges inte vara sårbara för attacken.
På webbplatsen för Thunderspy-sårbarheten finns en applikation som analyserar datorn och avgör om den är sårbar för Thunderbolt-attacker. Verktyget kan laddas ned som öppen källkod eller färdiga binära applikationer till Windows eller Linux. Då metoden kräver fysisk åtkomst till datorn och hårdvaruverktyg är detta inte en sårbarhet gemene man behöver oroa sig för, men för företag eller måltavlor för politiskt motiverade attacker är det ett desto större bekymmer.
