Ett nytt säkerhetshål hos Thunderbolt-portar har nu detaljerats av säkerhetsforskare och vad som kallas “Thunderspy” kan låta en förövare ta sig in i en Thunderbolt-bestyckad Linux eller Windows-dator på mindre än fem minuter.
Säkerhetsforskare från Eindhoven University of Technology har nu detaljerat en nyfunnen sårbarhet hos Thunderbolt. Förövare behöver förvisso fysisk tillgång till datorn men resultatet av den attack som utformats kring säkerhetshålet låter förövaren låsa upp alla förutom de senaste Windows eller Linux-baserade datorer.
Säkerhetsforskaren vid namn Björn Ruytenberg kallar denna nya attackmetod för “Thunderspy” och har visat hur denna kan ta sig förbi en dators inloggningsskärm. Attacken ska vara möjlig att utföra även om datorn i fråga befinner sig i viloläge. Den kan även resultera i att krypterad information på den angripna datorns lagringsenheter inte längre är krypterad.
Thunderspy förlitar sig på hur Thunderbolt har delvis direktkontakt med en dators internminne utan krav på att systemprocessorn agerar mellanhand. Detta resulterar i stora prestandavinster för Thunderbolt men öppnar också upp för sårbarheter.
Med Thunderspy kan de säkerhetsnivåer som finns hos gränssnittets programvara förbigås. Dessa säkerhetsfunktioner kan till exempel stänga av Thunderbolt-funktionen hos en anslutning så den endast agerar som en USB eller videoanslutning. Däremot kunde säkerhetsforskaren manipulera programvara hos kontrollkretsen för att tillåta direkt åtkomst till datorn i fråga.
Attacken lämnar inga spår efter sig och datorn operativsystem inser inte heller att några förändringar har skett. Attacken kräver att specialiserad hårdvara kopplas till den tidigare nämnda kontrollkretsen. Sedan kan förövaren utföra det kommando som tar sig förbi Thunderbolts säkerhetsåtgärder.
Även nyare datorer är i riskzonen för Thunderspy
Under 2019 introducerade Intel vad som kallas Kernel DMA Protection. Denna säkerhetsåtgärd kan stoppa Thunderspy och den inkluderas i Windows 10 version 1803. Den kräver dock att denna version installerats direkt från fabrik och kan inte implementeras i efterhand.
Detta innebär att även nyare datorer ligger i riskzonen för en Thunderspy-attack då inte alla datortillverkare sett till att förse sina nytillverkade datorenheter kommit med denna Windows-version så fort den blev tillgänglig.
Även Apple-datorer förutom Retina MacBooks lanserade sedan 2011 kommer med Thunderbolt-anslutning och ska enligt Thunderspys hemsida vara i riskzonen. Apple-användare som nyttjar macOS ska enligt hemsidan vara delvis påverkade av säkerhetshålet. Används däremot Boot Camp för att köra Windows eller Linux ska Thunderbolts säkerhetsåtgärder vara avstängda och således är datorn sårbar.
Uppdatering: Intel har publicerat ett officiellt utlåtande angående Thunderspy och de omständigheter som fanns vid de tester säkerhetsforskarna utförde för att bevisa säkerhetshålets existens.
Varningarna blir ibland rätt komiska av skäl det lär vara rätt trassligt att få möjligheten komma in i avsedd dator eller server.
Vanligen är det väl enklare prassla med en ganska stor summa pengar och locka någon ta ut informationen man vill åt.
Valet är oftast rätt logiskt mellan bekvämlighet eller inte i användning av mjukvara hårdvara gör att det lär knappast vara oundvikligt med en del hål som det kallas.
För 99.99 av samtliga användare lär det inte ens märkas något av skäl är ointressanta datorer/servrar