X

Thunderbolt unsicher:
Angreifer können unpatchbare Lücke ausnutzen

Erst vor kurzem wurde bekannt, dass Microsoft bei seinen Surface-Gerä­ten auf Thun­derbolt verzichtet. Jetzt gibt es einen konkreten Grund: Thun­derbolt ist offenbar für eine schwerwiegende, zu großen Teilen nicht durch einen Patch zu beseitigende Lücke anfällig.
11.05.2020  12:10 Uhr
Wie der Sicherheitsexperte Björn Ruytenberg laut Wired herausfand, könnte ein Angreifer mit einer relativ einfachen Methode, die er "Thunderspy" nennt, die Daten des Besitzers eines PCs mit Windows oder Linux innerhalb von kurzer Zeit erlangen. Allerdings bedarf es dafür direktem, physischen Zugriff auf die Hardware und einem Öffnen des Gehäuses, was die Ausnutzung dann deutlich weniger wahrscheinlich macht. So muss der Angreifer direkten Zugang haben und das Gehäuse des jeweiligen Systems öffnen können, um dann mit einem "SPI-Programmer" und einem speziellen, per Thunderbolt anzuschließenden Gerät, eine Verbindung herzustellen. Nur dann lassen sich Daten auslesen, nachdem die Firmware des jeweils attackierten Systems geändert wurde. Insgesamt soll der Angriff nur rund fünf Minuten dauern.

Direkter Speicherzugang wird zum Problem

Das Problem besteht primär darin, dass Thunderbolt von Haus aus darauf ausgelegt ist, seine hohe Performance über eine direkte physische Verbindung zum Speicher des jeweiligen Geräts zu erzielen. Ruytenberg zufolge ließe sich dieser Umstand von Geheimdiensten und anderen Angreifern ausnutzen, um an die geheimen Daten der Nutzer von Thunderbolt-fähigen Systemen zu gelangen.

Wer also derzeit einen Rechner mit Thunderbolt-fähigem Anschluss besitzt, sollte das Gerät stets komplett herunterfahren und nicht in eingeschaltetem Zustand unbeobachtet lassen - auch nicht im Schlafmodus. Immerhin gibt es ein wenig Hoffnung: Viele Intel-basierte Systeme, die seit 2019 auf den Markt kamen, verfügen normalerweise über die sogenannte Kernel Direct Memory Access Protection, die die "Thunderspy"-Attacke unmöglich macht. Allerdings sind auch seit 2019 noch diverse OEM-PCs erschienen, die weiterhin anfällig sind.

Bei Mac-Systemen besteht keine Gefahr für eine Ausnutzung, solange sie nicht Boot Camp nutzen. Die Sicherheitsexperten um Ruytenberg haben nach eigenen Angaben bereits Anfang Februar Intel über ihre Erkenntnisse informiert. Mitte April gab man die Informationen auch an Apple weiter. Mittlerweile bieten die Forscher mit "Spycheck" ein simples Prüf-Tool an, mit dem die Nutzer nachvollziehen können, ob ihr PC für die Thunderspy-Attacke anfällig ist.
Siehe auch: Surface: Kein Thunderbolt und fest verbauter RAM dienen der Sicherheit
Verwandte Themen
Intel
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture