Onderzoekers hebben een nieuwe aanval genaamd “Thunderclap” gedemonstreerd waarbij ze computers binnen enkele seconden via Thunderbolt kunnen overnemen. Het probleem speelt bij alle computers die over een Thunderbolt-poort beschikken en op Windows, macOS, Linux en FreeBSD draaien.

Met name Apple-laptops en -desktops die sinds 2011 geproduceerd zijn lopen risico, met uitzondering van de 12-inch MacBook. Veel laptops en sommige desktops die op Linux en Windows draaien en sinds 2016 geproduceerd zijn, zijn ook kwetsbaar. Door het aansluiten van een kwaadaardig Thunderbolt-apparaat is het mogelijk om willekeurige met de hoogste rechten uit te voeren en toegang tot wachtwoorden, inloggegevens voor internetbankieren, encryptiesleutels, privébestanden en andere data te krijgen, aldus de onderzoekers.

Ze merken op dat de aanval ook is uit te voeren via onschuldig lijkende randapparatuur, zoals opladers en projectors die het apparaat gewoon opladen of beeld laten zien, maar gelijktijdig de aangesloten computer compromitteren. De Thunderclap-kwetsbaarheden zijn ook te misbruiken via gecompromitteerde PCI Express-randapparatuur.

Oorzaak

De Thunderclap-kwetsbaarheden worden veroorzaakt door het feit dat randapparatuur zoals netwerkkaarten en videokaarten vertrouwde onderdelen van een computer zijn. Ze hebben direct memory access (DMA), waarmee ze het systeemgeheugen kunnen lezen en schrijven, zonder toezicht van het besturingssysteem. DMA laat randapparatuur het securitybeleid van het besturingssysteem omzeilen.

Volgens de onderzoekers zijn eerder ontwikkelde DMA-aanvallen door hackers en inlichtingendiensten gebruikt om systemen over te nemen en gevoelige data te stelen. Om eerdere DMA-aanvallen tegen te gaan kunnen besturingssystemen via de input-output memory management unit (IOMMU) geheugentoegang door randapparatuur beperken. De meeste systemen hebben IOMMU echter niet ingeschakeld of ondersteunen het niet. Zo wordt het niet ondersteund door Windows 7, Windows 8 en Windows 10 Home en Pro. Alleen macOS heeft het standaard ingeschakeld.

De Thunderclap-aanval maakt gebruik van kwetsbaarheden in de manier waarop besturingssystemen IOMMU gebruiken. Zo was de beveiligingsmaatregel op Linux, wanneer ingeschakeld, eenvoudig te omzeilen. Daardoor konden de onderzoekers aangevallen systemen via DMA compromitteren. Hiervoor maakten ze gebruik van een apparaat dat zich voordeed als echte netwerkkaart, zo meldt onderzoeker Theo Markettos.

Beveiligingsmaatregelen

De onderzoekers stellen dat hardwarefabrikanten en ontwikkelaars van besturingssystemen oplossingen hebben uitgebracht om gebruikers te beschermen. Die krijgen dan ook het advies om beschikbare beveiligingsupdates voor hun besturingssysteem te installeren. De updates verhelpen echter niet alle mogelijkheden tot misbruik via specifieke aanvallen. De beste manier om volledig beschermd te zijn is om de Thunderbolt-poorten uit te schakelen. Door de noodzaak om legitieme randapparatuur aan te sluiten en op te laden is dit volgens de onderzoekers onhaalbaar.

Een andere maatregel die gebruikers kunnen nemen is om hun computer niet onbeheerd in publiek achter te laten en geen publieke USB-C-oplaadstations te gebruiken. Ook moeten gebruikers alert zijn op het aansluiten van onbekende apparaten op de Thunderbolt-poort van de machine. Het gaat dan ook om onschuldig lijkende opladers en projectors.

In het geval van Windows kan er een melding verschijnen als er een nieuw Thunderbolt-apparaat wordt aangesloten. Gebruikers moeten alleen vertrouwde apparaten goedkeuren en alleen hiervoor de Thunderbolt-features inschakelen, zo gaan de onderzoekers verder. In het geval er een onverwachte waarschuwing verschijnt moeten gebruikers die niet goedkeuren en het aangesloten apparaat weer loskoppelen. Eén grote laptopfabrikant liet de onderzoekers weten dat ze de kwetsbaarheden eerst beter willen begrijpen voordat ze Thunderbolt aan nieuwe laptopmodellen toevoegen.