Nylig skrev Digi.no at Microsoft ikke utstyrer selskapets Surface-enheter med støtte for Thunderbolt-teknologien av sikkerhetsårsaker. Thunderbolt gir tilgang til minnet til PC-en (DMA – Direct Memory Access), og det kan utnyttes på det groveste, dersom noe har fysisk tilgang til enheten.
I helgen kom den nederlandske Björn Ruytenberg, en masterstudent ved Technische Universiteit Eindhoven (TU/e), med et nytt bevis på dette. I løpet av den knapt seks minutter lange, uklipte videoen nedenfor demonstrerer han hvordan greier å logge seg inn på en Windows 10-basert PC uten å kjenne passordet til brukeren, ved først å deaktivere den innebygde sikkerheten i Thunderbolt, for deretter å overskrive systemminnet slik at Windows 10 ikke ber om passordet til brukeren under innloggingen.
Dermed får han full tilgang til brukerkontoen, selv om PC-en er satt opp med Secure Boot, sterke passord for både BIOS og operativsystemet, samt full diskkryptering.
Ikke direkte avhengig av operativsystemet
Angrepsteknikken, som Ruytenberg har gitt navnet Thunderspy, er ikke begrenset til Windows. I alt har han funnet sju ulike sårbarheter i alle nåværende utgaver av Thunderbolt. Windows- og Linux-baserte systemer er sårbare fem av disse, mens MacOS har ekstra sikkerhet som gjør systemet bare delvis berørt av to av de sju sårbarhetene. Dette er nærmere beskrevet i forskningsrapporten.
Fra 2019 har en god del PC-er blitt levert med en teknologi kalt Kernel DMA Protection, som begrenser mulighetene for å utnytte sårbarhetene som Ruytenberg har oppdaget.
Selv om hackingen er temmelig raskt gjort, krever både egen maskinvare og programvare. I videoen nedenfor ser man at Ruytenberg først tar av dekselet på en bærbare PC og kobler til maskinvare som kan overskrive fastvaren til Thunderbolt-kontrolleren, slik at sikkerhetsnivået settes i 0. Det betyr at all sikkerhet deaktiveres. Det er denne prosessen som tar lengst tid.
Deretter kobler Ruytenberg til en Thunderbolt-basert angrepsenhet som kan skrive en kjernemodul inn i minnet til laptopen. Dermed deaktiveres passordkontrollen i Windows 10.
Saken fortsetter under videoen.
Trolig enkelt å gjenskape
Programvaren som Ruytenberg selv har utviklet i forbindelse med Thunderspy, er tilgjengelig som åpen kildekode. I tillegg bruker han flere verktøy som allerede er tilgjengelige, inkludert en maskinvareenhet kalt Bus Pirate.
Mye tyder derfor på at det bør være mulig for mange å gjenskape angrepet Ruytenberg demonstrerer.
Ruytenberg og hans veiledere skal første gang har kontaktet Intel om sårbarhetene den 10. februar. Innen den 17. mars hadde Intel bekreftet seks av sårbarhetene. Den sjuende sårbarheten er knyttet til Mac-teknologien Boot Camp. Apple ble informert om sårbarheten den 17. april.
Krever ny maskinvare
Ruytenberg mener at ingen av sårbarhetene lar seg fjerne ved hjelp av programvare. Det må altså redesign av maskinvaren til. Det betyr at de aller fleste PC-er som er levert med Thunderbolt-støtte siden 2011, vil være sårbare for Thunderspy-angrep inntil de kasseres.
Anbefalingen fra Ruytenberg er at brukere som ikke har behov for Thunderbolt-støtte, deaktivere dette i BIOS/UEFI. Dette gjør at porten(e) i beste fall kun kan brukes til strømforsyning.
Ruytenberg har også lagd et verktøy kalt Spycheck. Dette er tilgjengelig for Windows og Linux og skal kunne fortelle brukeren om PC-en de kjøres på er sårbar for Thunderspy-angrep.
Funnene til Ruytenberg skal bli presentert under hackerkonferansen Black Hat USA 2020, som arrangeres i begynnelsen av august. På grunn av koronapandemien vil dette i år kun være et virtuelt arrangement.
