Kwetsbaarheden ontdekt in Thunderbolt

Deze pagina gebruikt slimmigheden om officiƫle advisory platte tekst naar HTML om te zetten. Daarbij kan die informatie worden verminkt. De "Signed-PGP" versies waarnaar verwezen wordt zijn normatief (maar deze zijn minder leesbaar).
Publicatie Kans Schade    
  Versie 1.00 11-05-2020 NCSC-2020-0377  
 
medium
high
 Signed-PGP →  
11-05-2020
medium
high
 NCSC-2020-0377 [1.00] Signed-PGP →
Kenmerken

Kenmerken
  • Omzeilen van beveiligingsmaatregel
  • Toegang tot gevoelige gegevens
Omschrijving

Omschrijving

Onderzoekers hebben meerdere kwetsbaarheden ontdekt in het Thunderbolt protocol[0]. Een kwaadwillende met fysieke toegang kan deze kwetsbaarheden gebruiken om malafide randapparatuur te laten accepteren door het systeem van het slachtoffer. Middels deze malafide randapparatuur kan de kwaadwillende toegang tot het geheugen en aangesloten bestandssystemen krijgen. Een voorwaarde is dat het systeem in slaapstand staat of schermvergrendeling is toegepast.

Thunderbolt is een interface waar de DisplayPort en PCI Express(PCIe) protocollen worden gecombineerd. Wanneer gebruik wordt gemaakt van PCIe heeft het apparaat toegang tot geheugen van het systeem. Om enigszins bescherming te bieden bevat de Thunderbolt host een lijst met unieke ID's(UUID) van apparaten die zonder interactie van de gebruiker hiervan gebruik mogen maken. Wanneer een UUID niet voorkomt krijgt de gebruiker een melding om dit apparaat goed te keuren.

Wanneer Thunderbolt Security Level 1(SL1) is ingesteld, is alleen een UUID nodig voor goedkeuring. Het is dan voor een kwaadwillende voldoende om de UUID te kopiëren naar malafide randapparatuur. Bij SL2 is er nog een verificatie nodig. In dat geval moet men ook een sleutel uit de SPI-chip van randapparatuur van het doelwit verkrijgen.

Ter informatie: SL0 laat alle randapparatuur verbinden en bij SL3 staat PCIe uit. Standaard staat SL1 ingeschakeld maar wanneer een Apple Mac wordt gebruikt i.c.m. Boot Camp staat deze op SL0.

Systemen vanaf 2019 met VT-d en DMAr kunnen mogelijk mitigerende maatregelen toepassen. Zie 'Mogelijke oplossingen' voor meer informatie.

Daarnaast zijn er kwetsbaarheden gevonden waardoor de firmware in de SPI-chip van het systeem gemanipuleerd kan worden. Om de SPI-chip uit te lezen en te manipuleren moet men het systeem of randapparatuur openmaken om fysiek toegang te verkrijgen.

[0] [Link] [1] [Link] /Thunderbolt%203%20and%20Security.pdf
Bereik

Bereik
Platforms Producten Versies

Apple macOS
Linux
Microsoft Windows

Thunderbolt
Oplossingen

Oplossingen

Er zijn geen updates voor het Thunderbolt protocol. Intel geeft aan dat recente mitigerende maatregelen nog steeds werken[2].

In eerste instantie geldt dat men de standaard beveiligingsmaatregelen moet toepassen. Gebruik alleen vertrouwde randapparatuur en voorkom ongeautoriseerd fysieke toegang tot systemen. Schakel ongebruikte systemen zoveel mogelijk uit in plaats van gebruik te maken van de slaapstand. En laat deze niet onbeheerd achter.

Voor systemen vanaf 2019 die beschikken over VT-d en DMAr met een actueel besturingssysteem is het mogelijk om Kernel DMA Protection te activeren. Hiermee wordt een stuk van het geheugen geïsoleerd voor het Thunderbolt apparaat. Dit moet zowel in het BIOS als besturingssysteem worden geactiveerd[3].

Wanneer Kernel DMA Protection niet beschikbaar en Thunderbolt niet essentieel is kan dit worden uitgeschakeld in het BIOS. Ook kan deze, afhankelijk van het systeem, worden ingesteld naar DisplayPort only mode of USB passthrough. Dit laatste beschermt niet in het geval dat een kwaadwillende de SPI-firmware aanpast. Dit is een mogelijkheid wanneer de kwaadwillende de tijd en fysieke toegang tot het systeem heeft om deze open te maken.

[2] Intel Blog [Link] [3] Microsoft Windows 10 [Link]
Kans

Kans

Onderstaande tabel geeft in detail aan hoe wij tot de inschatting zijn gekomen hoe groot de kans is dat deze kwetsbaarheid in het doorsnee praktijkgeval kan worden misbruikt. De punten worden bij elkaar geteld.

medium
 ∑ = 25
Is de kwetsbaarheid aanwezig in de standaard configuratie/ installatie? Onduidelijk/Ja 3
Is er exploit-code beschikbaar? Proof of Concept (PoC) 4
Wordt de kwetsbaarheid in de praktijk gebruikt? Nee (nog niet) 1
Zijn er technische details beschikbaar? Ja, volledig 3
Welke toegang is er nodig? Fysiek 1
Vereiste credentials Geen 4
Hoe moeilijk is het om de kwetsbaarheid uit te buiten? Complex 1
Is er gebruikers interactie nodig? Geen handelingen 4
Wordt misbruik of een exploit verwacht? Niet op korte termijn 1
Is er een oplossing beschikbaar? Nog niet 3
Schade

Schade

Onderstaande tabel geeft in detail aan hoe wij tot de inschatting zijn gekomen voor de schade die bij een succesvolle aanval kan ontstaan. De hoogste inschaling bepaalt de totale kans op schade.

high
Denial of Service Nee
low
Uitvoeren van willekeurige code Nee
low
Rechten op afstand (remote [root-] shell) Nee
low
Verwerven lokale admin/root-rechten (privilege escalation) Ja
medium
Lekken van (gevoelige) informatie Ja, Gebruikersdata
high
  Versie 1.00 11-05-2020 NCSC-2020-0377  
 
medium
high
 Signed-PGP →  
11-05-2020
medium
high
 NCSC-2020-0377 [1.00] Signed-PGP →

Vrijwaringsverklaring

Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend.
Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies.
Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding.