Skip to content

Gefährliche Peripherie: Thunderbolt

Geschrieben von Carsten Eilers am um 11:45

Heute geht es mal wieder um gefährliche Peripherie, oder genauer: Einen gefährlichen Anschluss am Rechner. Und zwar den Thunderbolt-Anschluss, der zum Beispiel in einigen Macs verbaut ist. Darüber ist der direkte Zugriff auf den Speicher des Geräts möglich, was schon im Fall des Firewire-Anschlusses Angriffe erlaubte. Und natürlich sind auch über Thunderbolt Angriffe möglich.

Am Anfang standen die Befürchtungen

Geräte mit Thunderbolt-Anschluss waren noch gar nicht auf dem Markt, als es schon die ersten Warnungen vor möglichen Angriffen gab. Robert Graham von Errata Security warnte im Februar 2011 in einem Blogpost mit den treffenden Titel "Thunderbolt: Introducing a new way to hack Macs" vor den Gefahren des neuen Anschlusses. Seine Warnungen basierten nur auf der allgemeinen Beschreibung des Protokolls, dessen Spezifikation nicht veröffentlicht wurde. Was das Vertrauen im Allgemeinen ja nicht gerade erhöht.

Der Auslöser aller Probleme ist die "trusting nature" des Protokolls, auf gut deutsch: Thunderbolt ist viel zu gutgläubig. Der Rechner sendet an das Peripheriegerät die Anweisung, die Daten an die Adresse x in seinem Speicher zu schreiben. Es ist aber nicht sicher gestellt, dass das Peripheriegerät die Daten wirklich an die Adresse x schreibt, es kann seine Daten genau so gut an jede andere Adresse schreiben und darüber zum Beispiel Schadcode einschleusen. Da Thunderbolt PCIe-Befehle verwendet, kann ein Thunderbolt-Gerät theoretisch alles tun, was auch eine PCIe-Karte tun kann. Wenn Sie jetzt denken, dass dann PCIe-Karten genau so gefährlich sind wie Thunderbolt-Geräte, haben Sie recht. Aber wie oft stecken Sie eine fremde PCIe-Karte in ihr Gerät, und wie oft verbinden Sie es mit einem fremden Thunderbolt-Anschluss, zum Beispiel beim Anschluss an ein Display? Aber zu den Angriffsszenarien komme ich unten noch.

Aus Befürchtungen werden Fakten

Ein Jahr später berichtete Carsten Maartmann-Moe über einen erfolgreichen Angriff über den Thunderbolt-Anschluss seines MacBooks Pro: Er schloss einen Firewire-Thunderbolt-Adapter an den Thunderbolt-Anschluss an und nutzte sein Tool Inception, das Angriffe über Firewire ermöglicht, für den Angriff über Thunderbolt. Beim Anschluss eines Firewire-Geräts an den Adapter wird das Firewire-Protokoll in Thunderbolt-Signale gekapselt, daher sind alle mit Firewire möglichen Angriffe auch über den Adapter mit Thunderbolt möglich.

Es gibt jedoch einige Einschränkungen, die zum Teil Firewire geschuldet sind:

  • Da Firewire mit 32-Bit-Adressen arbeitet, kann nur auf die unteren 4 GB des RAMs zugegriffen werden.
  • Unter Mac OS X Lion mit aktiviertem FileVault wird DMA ausgeschaltet, wenn der Rechner gesperrt ist. Bei entsperrten Rechner sind die Angriffe aber problemlos möglich, außerdem ist es möglich mit Hilfe der Benutzer-Auswahl DMA wieder ein zu schalten.
  • Ist das Firmware-Passwort (OF/EFI) gesetzt, ist Firewire DMA ausgeschaltet und der Angriff nicht möglich.

Prinzipiell sind also Angriffe über Thunderbolt möglich, wenn auch über den Umweg des Firewire-Adapters. Aber wie sieht es mit direkten Angriffen aus? Auch die sollten möglich sein, oder?

Ein Rootkit via Thunderbolt

Auf der Sicherheitskonferenz "Black Hat USA 2012" hat Loukas K am 26. Juli 2012 ein EFI-Rootkit für den Mac vorgestellt: "De Mysteriis Dom Jobsivs - Mac EFI Rootkits". Der ist hier von Interesse, weil das Rootkit über einen präparierten "Thunderbolt to Gigabit Ethernet Adapter" von Apple eingeschleust wurde.

Wenn die EFI-Firmware den PCIe-Bus initialisiert, lädt sie die im Firmware-ROM angeschlossener Thunderbolt-Geräte enthaltenen Treiber und führt sie dann aus. Das ist ein normaler und notwendige Bestandteil des Initialisierungsprozesses, da die Firmware im primären EFI-ROM auf dem Motherboard nicht zwingend korrekte Treiber für alle angeschlossenen Geräte enthält. Loukas K hat einen bösartigen EFI-Treiber im ROM des Adapters gespeichert, von wo aus er dann beim Systemstart geladen wurde.

Damit ist bewiesen, dass Angriffe auch direkt über Thunderbolt möglich sind. Was alles möglich ist, wurde noch lange nicht ausgelotet. Unter anderem, weil die Thunderbolt-Spezifikation bisher nicht veröffentlicht wurde.

Und es geht weiter...

Auf der vom 27. Juli bis 1. August 2013 abgehaltenen "Black Hat USA 2013" hat Russ Sevinsky den aktuellsten Vortrag zur Sicherheit von Thunderbolt gehalten: "Funderbolt: Adventures in Thunderbolt DMA attacks".

Er beschreibt zuerst als Einführung PCIe, danach ausführlich seine Untersuchungen an der Hard- und Firmware von zwei Geräten: Der Buffalo MiniStation Thunderbolt/USB3 Festplatte und Apples Thunderbolt to Gigabit Ethernet Adapter. Daraus lassen sich noch keine neuen Angriffe ableiten, die ersten Schritte auf dem Weg dorthin sind aber gemacht. Auch wenn Intel die Thunderbolt-Spezifikation nicht veröffentlicht, können Sicherheitsforscher und Cyberkriminelle Schwachstellen in Thunderbolt aufspüren. Sie müssen halt nur vorher/zusätzlich über Reverse Engineering Schnittstellen und Protokolle analysieren.

Angriffsszenarien

Wie können Angriffe über den Thunderbolt ablaufen? Erst mal sind die gleichen Angriffe wie über Firewire möglich, zum Beispiel ein "Evil Maid"-Angriff: Sie lassen Ihr Notebook mit Firewire-Anschluss im Hotelzimmer liegen und das Zimmermädchen (oder wer auch immer sich als solches ausgibt) schließt ein Thunderbolt-Gerät an den Rechner an, das dann Schadsoftware installiert. Das gleiche kann natürlich auch zum Beispiel während der Grenzkontrolle geschehen, und auch ein bösartiger Besucher eines Büros kann heimlich ein Gerät an einen Thunderbolt-Anschluss anschließen. Letzterem kommt dabei zu Gute, dass mehrere Thunderbolt-Geräte hintereinander gehängt werden können. Ist bereits eine Festplatte angeschlossen, fällt womöglich gar nicht auf, dass in deren zweiten Anschluss ein kleiner Stecker mit präparierter Firmware steckt.

Ein weiteres mögliches Angriffsszenario sind Beamer oder Monitore mit Thunderbolt-Anschlüssen auf Konferenzen und ähnlichen Veranstaltungen: Im Beamer oder Monitor könnte ein weiteres Thunderbolt-"Gerät" versteckt sein, dass beim Anschluss eines Rechners diesen mit Schadsoftware infiziert. Zumindest zur Zeit ist die Gefahr eines solchen Angriffs aber ziemlich gering, meist wird ja nicht mal DVI für den Anschluss an die Beamer verwendet sondern weiter auf den guten, alten VGA-Anschluss gesetzt.

In der nächsten Folge geht es erneut um Angriffe über den USB-Anschluss.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Gefährliche Peripherie: Firewire
Gefährliche Peripherie: USB
Gefährliche Peripherie: USB - Stick weg, Daten weg
Gefährliche Peripherie: USB - Weitere Angriffe und Gegenmaßnahmen
Gefährliche Peripherie: Drucker und Co.
Gefährliche Peripherie: Thunderbolt
Gefährliche Peripherie: USB - Bösartige Ladegeräte
Gefährliche Peripherie: USB - Zweckentfremdete Anschlüsse und mehr
BadUSB - Ein Angriff, der dringend ernst genommen werden sollte

Trackbacks

Dipl.-Inform. Carsten Eilers am : Thunderstrike - Via Thunderbolt in die Firmware des Macs, Teil 1

Vorschau anzeigen
Die von Intel und Apple entwickelte Thunderbolt-Schnittstelle ist technisch eine Kombination aus DisplayPort und PCI Express. PCI Express - da war doch was mit der Sicherheit? Genau: PCI Express erlaubt den direkten Zugriff auf den Speicher (Dire

Dipl.-Inform. Carsten Eilers am : Thunderstrike - Via Thunderbolt in die Firmware des Macs, Teil 2

Vorschau anzeigen
Auch in dieser Folge geht es um den von Trammell Hudson entwickelten Thunderstrike-Angriff, den er auf dem 31. Chaos Communication Congress (31C3) vorgestellt hat. Er wird detailliert in einer kommentierten Version des 31C3-Vortrags (den es auch

Dipl.-Inform. Carsten Eilers am : Thunderstrike - Via Thunderbolt in die Firmware des Macs, Teil 3

Vorschau anzeigen
Noch einmal geht es um den von Trammell Hudson entwickelten Thunderstrike-Angriff, den er auf dem 31. Chaos Communication Congress (31C3) vorgestellt hat. Er wird detailliert in einer kommentierten Version des 31C3-Vortrags (den es auch als Vid