Een Nederlandse onderzoeker ontdekte een lek in de beveiliging van Thunderbolt dat hij kan misbruiken om onder andere de wachtwoordbeveiliging van Windows te omzeilen.
Een beveiligingsonderzoeker van de Nederlandse Technische Universiteit van Eindhoven ontdekte een kwetsbaarheid in de beveiliging van alle versies van Thunderbolt. Het lek maakt het mogelijk om verregaande toegang tot een laptop te krijgen en andere beveiligingsmechanismen te omzeilen. Dat meldt Tweakers. De onderzoeker doopte het lek Thunderspy.
Alle laptops met Thunderbolt geleverd tussen 2011 en 2020 zijn kwetsbaar, al zijn de gevolgen vooral Windows- en Linux-apparaten ernstig. Voor laptops van Apple is het gevaar kleiner. Dat komt omdat de kwetsbaarheid een aanvaller toegang geeft tot een systeem, maar van daaruit moet het eigenlijke kraken van de softwarebeveiliging nog gebeuren.
Fysieke toegang
Het hack is niet eenvoudig uit te voeren. Een aanvaller moet fysieke toegang hebben tot een laptop die niet is uitgeschakeld. Een toestel in slaapstand is met andere woorden kwetsbaar. Vervolgens moet de hacker het toestel openen en fysiek verbinding maken met de thunderbolt-controller. Via een zelfgeschreven tool is het mogelijk om de firmware op de controller uit te lezen, aanpassingen door te voeren en de aangepaste versie opnieuw op de controller weg te schrijven.
Dat betekent concreet dat een aanvaller alle ingebouwde beveiligingsmogelijkheden van het Thunderbolt-protocol kan uitschakelen. De controller zelf detecteert niet dat er iets vreemds aan de gang is. Met de beveiliging uitgeschakeld, is de laptop kwetsbaar voor een hack via de Thunderbolt-poort. In een demo toont de onderzoeker hoe hij vervolgens enkele wijzigingen in de kernel van het systeem kan doorvoeren om de wachtwoordbeveiliging ervan te omzeilen. Na enkele minuten kan een hacker in principe aan de slag op een met een wachtwoord beveiligd systeem.
Laptops met Kernel DMA-bescherming zijn gewapend tegen dit type aanval, maar die toestellen zijn een zeldzaamheid. Enkele nieuwe EliteBooks en ZBooks van HP zijn beschermd, net als een handvol nieuwe Thinkpads van Lenovo. Eerder gaf Microsoft nog aan dat Surface-toestellen geen Thunderbolt aan boord hebben omwille van beveiligingsrisico’s.
Geen patch
Omdat de aanval op hardwareniveau start, is het volgens de onderzoeker geen optie om een softwarepatch uit te rollen. Het is bovendien goed mogelijk dat ook Thunderbolt 4 de kwetsbaarheid bevat, aangezien die standaard verder bouwt op Thunderbolt 3 en vooral voor éénmaking met het USB-protocol zorgt.
Het spreekt voor zich dat de kwetsbaarheid in de praktijk moeilijk uit te buiten is omwille van de fysieke toegang die erbij komt kijken. Het lek is vooral een probleem voor mensen met gevoelige informatie op hun toestel, die wel eens het doelwit kunnen worden van een gerichte campagne om data te stelen. Daarbij kan het volstaan om een laptop bijvoorbeeld in slaapstand achter te laten op een hotelkamer om kwetsbaar te zijn.
De onderzoeker zelf doet de details uit de doeken in onderstaande video.