Thunderclap

Vor kurzer Zeit produzierte das O.MG Kabel Schlagzeilen. In dieses harmlos wirkende USB-Kabel ist eine versteckte Hardware eingebaut, die sich beim Anschließen gegenüber dem Betriebssystem als Eingabegerät ausgibt und einem Angreifer die Fernsteuerung eines Rechners über WLAN ermöglicht.

Jetzt haben Sicherheitsforscher nach einer zwei Jahre dauernden Zusammenarbeit des Department of Computer Science and Technology at the University of Cambridge, der Rice University und von SRI International ein Papier veröffentlicht, das die Kompromittierung von Systemen durch ähnlich schädliche Peripherie untersucht. Das Forschungsergebnis haben die Wissenschaftler „Thunderclap“, zu Deutsch Donnerschlag, getauft.

In der IT sind verschiedene Trends über die Jahre hin sichtbar geworden. Immer größere Datenmengen sollen möglichst schnell zwischen Systemkomponenten bewegt werden und Computersysteme werden häufiger mit externer Peripherie erweitert. Eine Konsequenz dieser Entwicklung sind externe Geräte, die mit Thunderbolt über USB-C (Thunderbolt 3) an Computer angeschlossen werden. Thunderbolt erlaubt Geräten den Zugriff auf den Systemspeicher über Direct Memory Access (DMA). DMA ermöglicht Geräten wie Netzwerk-, Grafik-, Speicherkarten und anderen mehr den direkten Zugriff auf den Systemspeicher, um Datenbewegungen möglichst performant zu gestalten.

Es ist seit langer Zeit bekannt, dass DMA aus dem Blickwinkel der Sicherheit riskant ist. Schließlich können DMA-fähige Geräte alle Daten lesen und schreiben, die sich im Hauptspeicher befinden. Dazu zählen Passworte, Schlüssel, Zustandsdaten usw.. Mit der Einführung der DMA-fähigen Firewire-Schnittstelle, die eine gewisse Popularität mit der Verbreitung von digitalen Videokameras erlangte, erfolgte auch ein Anstieg der DMA-Angriffe. Als Gegenmaßnahme wurden Computer deshalb um die Input-Output Memory Management Unit (IOMMU) erweitert, die den Zugriff von DMA-Geräten auf Systemspeicher beschränken kann. FreeBSD, Linux und MacOS bieten eine IOMMU-Unterstützung, Microsoft Windows hingegen bietet einen IOMMU-Schutz nicht an, bis auf in Windows 10 Enterprise ab Version 1803.

Die Forscher haben mit Thunderclap eine Plattform entwickelt, die sich gegenüber Systemen als ein Thunderbolt-Gerät ausweist und dabei in der Lage ist, dessen IOMMU-Schutzmechanismus auf diverse Arten auszuhebeln. Mit Hilfe der Plattform haben sie unter anderem Informationen ausspähen, eine „root“-Shell starten und Kernel-Privilegien erreichen können. Sie kommen deshalb zu dem Schluss, dass die einzige sichere Maßnahme nur die Abschaltung von Thunderbolt sein kann.

Das Fazit der momentan stattfindenden Entwicklung kann wie folgt zusammengefasst werden:

• Unbekannte, nicht vertrauenswürdige Peripherie sollte nicht ohne weitere Prüfung angeschlossen werden,
• vertrauenswürdige Peripherie sollte für mögliche Angreifer unzugänglich aufbewahrt werden,
• Schnittstellen, die nicht benötigten werden, sollten abgeschaltet oder unzugänglich gemacht werden.