Kwetsbaarheden ontdekt in Thunderbolt
Deze pagina gebruikt slimmigheden om officiƫle advisory platte tekst naar HTML om te zetten. Daarbij kan die informatie worden verminkt. De "Signed-PGP" versies waarnaar verwezen wordt zijn normatief (maar deze zijn minder leesbaar).
Publicatie | Kans | Schade | |||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Versie 1.00 | 11-05-2020 | NCSC-2020-0377 | |||||||||||||||||||||||||||||||||||
medium
|
high
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
11-05-2020 |
medium
|
high
|
NCSC-2020-0377 [1.00] | Signed-PGP → | |||||||||||||||||||||||||||||||||
Kenmerken |
|
||||||||||||||||||||||||||||||||||||
Omschrijving |
Onderzoekers hebben meerdere kwetsbaarheden ontdekt in het Thunderbolt protocol[0]. Een kwaadwillende met fysieke toegang kan deze kwetsbaarheden gebruiken om malafide randapparatuur te laten accepteren door het systeem van het slachtoffer. Middels deze malafide randapparatuur kan de kwaadwillende toegang tot het geheugen en aangesloten bestandssystemen krijgen. Een voorwaarde is dat het systeem in slaapstand staat of schermvergrendeling is toegepast. Thunderbolt is een interface waar de DisplayPort en PCI Express(PCIe) protocollen worden gecombineerd. Wanneer gebruik wordt gemaakt van PCIe heeft het apparaat toegang tot geheugen van het systeem. Om enigszins bescherming te bieden bevat de Thunderbolt host een lijst met unieke ID's(UUID) van apparaten die zonder interactie van de gebruiker hiervan gebruik mogen maken. Wanneer een UUID niet voorkomt krijgt de gebruiker een melding om dit apparaat goed te keuren. Wanneer Thunderbolt Security Level 1(SL1) is ingesteld, is alleen een UUID nodig voor goedkeuring. Het is dan voor een kwaadwillende voldoende om de UUID te kopiëren naar malafide randapparatuur. Bij SL2 is er nog een verificatie nodig. In dat geval moet men ook een sleutel uit de SPI-chip van randapparatuur van het doelwit verkrijgen. Ter informatie: SL0 laat alle randapparatuur verbinden en bij SL3 staat PCIe uit. Standaard staat SL1 ingeschakeld maar wanneer een Apple Mac wordt gebruikt i.c.m. Boot Camp staat deze op SL0. Systemen vanaf 2019 met VT-d en DMAr kunnen mogelijk mitigerende maatregelen toepassen. Zie 'Mogelijke oplossingen' voor meer informatie. Daarnaast zijn er kwetsbaarheden gevonden waardoor de firmware in de SPI-chip van het systeem gemanipuleerd kan worden. Om de SPI-chip uit te lezen en te manipuleren moet men het systeem of randapparatuur openmaken om fysiek toegang te verkrijgen. |
||||||||||||||||||||||||||||||||||||
Bereik |
|
||||||||||||||||||||||||||||||||||||
Oplossingen |
Er zijn geen updates voor het Thunderbolt protocol. Intel geeft aan dat recente mitigerende maatregelen nog steeds werken[2]. In eerste instantie geldt dat men de standaard beveiligingsmaatregelen moet toepassen. Gebruik alleen vertrouwde randapparatuur en voorkom ongeautoriseerd fysieke toegang tot systemen. Schakel ongebruikte systemen zoveel mogelijk uit in plaats van gebruik te maken van de slaapstand. En laat deze niet onbeheerd achter. Voor systemen vanaf 2019 die beschikken over VT-d en DMAr met een actueel besturingssysteem is het mogelijk om Kernel DMA Protection te activeren. Hiermee wordt een stuk van het geheugen geïsoleerd voor het Thunderbolt apparaat. Dit moet zowel in het BIOS als besturingssysteem worden geactiveerd[3]. Wanneer Kernel DMA Protection niet beschikbaar en Thunderbolt niet essentieel is kan dit worden uitgeschakeld in het BIOS. Ook kan deze, afhankelijk van het systeem, worden ingesteld naar DisplayPort only mode of USB passthrough. Dit laatste beschermt niet in het geval dat een kwaadwillende de SPI-firmware aanpast. Dit is een mogelijkheid wanneer de kwaadwillende de tijd en fysieke toegang tot het systeem heeft om deze open te maken. |
||||||||||||||||||||||||||||||||||||
Kans |
Onderstaande tabel geeft in detail aan hoe wij tot de inschatting zijn gekomen hoe groot de kans is dat deze kwetsbaarheid in het doorsnee praktijkgeval kan worden misbruikt. De punten worden bij elkaar geteld.
|
||||||||||||||||||||||||||||||||||||
Schade |
Onderstaande tabel geeft in detail aan hoe wij tot de inschatting zijn gekomen voor de schade die bij een succesvolle aanval kan ontstaan. De hoogste inschaling bepaalt de totale kans op schade.
|
||||||||||||||||||||||||||||||||||||
Versie 1.00 | 11-05-2020 | NCSC-2020-0377 | |||||||||||||||||||||||||||||||||||
medium
|
high
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
11-05-2020 |
medium
|
high
|
NCSC-2020-0377 [1.00] | Signed-PGP → |
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend.
Het NCSC en de Staat zijn niet aansprakelijk voor enige schade
ten gevolge van het gebruik of de onmogelijkheid van het gebruik
van dit beveiligingsadvies, waaronder begrepen schade ten gevolge
van de onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies.
Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle
geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies
zullen worden voorgelegd aan de exclusief bevoegde rechter te Den
Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in
kort geding.