Der Sicherheitsforscher Björn Ruytenberg hat schwerwiegende Sicherheitslücken in der Thunderbolt-Technologie entdeckt und unter dem Namen Thunderspy veröffentlicht, wie "Golem"
berichtet. Die gefundenen Fehler sind zum einen gravierend, da sie sich nicht patchen lassen, zum anderen nur unter gewissen Umständen gefährlich, da ein Angreifer physischen Zugang und etwas Zeit mit dem Gerät benötigt. Denn zum Ausnutzen der Sicherheitslücken muss das Gerät geöffnet werden. Indem das Gerät aufgeschraubt wird, kann der Thunderbolt-Controller identifiziert und mit einem SPI-Flash-Programmer eine neue Firmware auf den Chip geflasht werden, wie Ryutenberg angibt. Damit lassen sich die Sicherheitslevel herabsetzen und unidentifizierte Thunderbolt-Geräte können auf den Arbeitsspeicher zugreifen. Damit kann etwa die Festplattenverschlüsselung ausgehebelt werden.
Echte Lösungen sind aber schwer zu finden, denn ein Patch ist nicht in Sicht. Benutzer, die Thunderbolt ohnehin nicht nutzen, können die Ports im BIOS ausschalten. Sowohl Ruytenberg wie auch
Intel raten dazu, dies zu tun und andernfalls den physischen Zugang von Dritten zum eigenen Gerät strikt zu kontrollieren. In wenigen Rechnern ab Baujahr 2019 gibt es ausserdem die Kernel DMA Protection, dies kann jedoch zu Kompatibilitätsproblemen mit gewissen Thunderbolt-Geräten führen und schütze nicht vor Angriffen mit BadUSB ("Swiss IT Magazine"
berichtete).
Ruytenberg fand gar noch eine zweite Lücke in Thunderbolt: Indem ein bereits autorisiertes Thunderbolt-Gerät geklont wird, konnte er damit ebenfalls Zugriff auf das Zielgerät erlangen. Intel weiss seit Februar 2020 von den Lücken, verzichtet jedoch auf weitere Schritte.
(win)
