-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden ontdekt in Thunderbolt
Advisory ID : NCSC-2020-0377
Versie : 1.00
Kans : medium
CVE ID :
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: http://cve.mitre.org/cve/)
Schade : high
Omzeilen van beveiligingsmaatregel
Toegang tot gevoelige gegevens
Uitgiftedatum : 20200511
Toepassing : Thunderbolt
Versie(s) :
Platform(s) : Apple macOS
Linux
Microsoft Windows
Beschrijving
Onderzoekers hebben meerdere kwetsbaarheden ontdekt in het
Thunderbolt protocol[0]. Een kwaadwillende met fysieke toegang kan
deze kwetsbaarheden gebruiken om malafide randapparatuur te laten
accepteren door het systeem van het slachtoffer. Middels deze
malafide randapparatuur kan de kwaadwillende toegang tot het
geheugen en aangesloten bestandssystemen krijgen. Een voorwaarde is
dat het systeem in slaapstand staat of schermvergrendeling is
toegepast.
Thunderbolt is een interface waar de DisplayPort en PCI
Express(PCIe) protocollen worden gecombineerd. Wanneer gebruik wordt
gemaakt van PCIe heeft het apparaat toegang tot geheugen van het
systeem. Om enigszins bescherming te bieden bevat de Thunderbolt
host een lijst met unieke ID's(UUID) van apparaten die zonder
interactie van de gebruiker hiervan gebruik mogen maken. Wanneer een
UUID niet voorkomt krijgt de gebruiker een melding om dit apparaat
goed te keuren.
Wanneer Thunderbolt Security Level 1(SL1) is ingesteld, is alleen
een UUID nodig voor goedkeuring. Het is dan voor een kwaadwillende
voldoende om de UUID te kopiëren naar malafide randapparatuur. Bij
SL2 is er nog een verificatie nodig. In dat geval moet men ook een
sleutel uit de SPI-chip van randapparatuur van het doelwit
verkrijgen.
Ter informatie: SL0 laat alle randapparatuur verbinden en bij SL3
staat PCIe uit. Standaard staat SL1 ingeschakeld maar wanneer een
Apple Mac wordt gebruikt i.c.m. Boot Camp staat deze op SL0.
Systemen vanaf 2019 met VT-d en DMAr kunnen mogelijk mitigerende
maatregelen toepassen. Zie 'Mogelijke oplossingen' voor meer
informatie.
Daarnaast zijn er kwetsbaarheden gevonden waardoor de firmware in de
SPI-chip van het systeem gemanipuleerd kan worden. Om de SPI-chip
uit te lezen en te manipuleren moet men het systeem of
randapparatuur openmaken om fysiek toegang te verkrijgen.
[0] https://thunderspy.io
[1] https://thunderbolttechnology.net/security
/Thunderbolt%203%20and%20Security.pdf
Mogelijke oplossingen
Er zijn geen updates voor het Thunderbolt protocol. Intel geeft aan
dat recente mitigerende maatregelen nog steeds werken[2].
In eerste instantie geldt dat men de standaard
beveiligingsmaatregelen moet toepassen. Gebruik alleen vertrouwde
randapparatuur en voorkom ongeautoriseerd fysieke toegang tot
systemen. Schakel ongebruikte systemen zoveel mogelijk uit in plaats
van gebruik te maken van de slaapstand. En laat deze niet onbeheerd
achter.
Voor systemen vanaf 2019 die beschikken over VT-d en DMAr met een
actueel besturingssysteem is het mogelijk om Kernel DMA Protection
te activeren. Hiermee wordt een stuk van het geheugen geïsoleerd
voor het Thunderbolt apparaat. Dit moet zowel in het BIOS als
besturingssysteem worden geactiveerd[3].
Wanneer Kernel DMA Protection niet beschikbaar en Thunderbolt niet
essentieel is kan dit worden uitgeschakeld in het BIOS. Ook kan
deze, afhankelijk van het systeem, worden ingesteld naar DisplayPort
only mode of USB passthrough. Dit laatste beschermt niet in het
geval dat een kwaadwillende de SPI-firmware aanpast. Dit is een
mogelijkheid wanneer de kwaadwillende de tijd en fysieke toegang tot
het systeem heeft om deze open te maken.
[2] Intel Blog
https://blogs.intel.com/technology/2020/05
/more-information-on-thunderspy/
[3] Microsoft Windows 10:
https://docs.microsoft.com/en-us/windows/security
/information-protection/kernel-dma-protection-for-thunderbolt
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 502)
Charset: utf-8
wsDUAwUBXrkSRk/4qUtG/lqjAQqjygv4qv/QKMlfCi23ZQ2TBCntgYlInM1pPwS8
CQB3rc/VwSYcboz2KLLsdsZT5BQSKxLkUAbjdrcqTGiUdxNLvuoJIQ/31VxL2di9
raqcGA2sUV+3/GVxY3WjXt1qI8HlWySLm7koX+5ozwGTQipMnhqEyFrITn4NpQfB
5dX15NOcCq13kGgb1Lc5+1YfuSgjA8WuQPP1HhTI0dUYAmdwm5nm446OOS5RybPz
4caBzPYJCS88hImZnlRizA7/db7r2bYrDXL/nUxYlEG5BqNtX2TQrSawrlS3hpLU
0VUmz4IAk+Uh6whtHA1lVs68zX92c9lX2VjwAnLxjfeGFl/ywy8Q3dSYDgA+1aT6
syezfDuV54QepqL5oZEHd00Qj1qrWj1Rw8gtbCcmIyanQ70cyUnnmKdxaQTJ7d0l
6ErbWRXPna3OH2F6fia8i/Ku8O3fcatt9Cvsk1jgKpMN3rk6yi+2oDFi7m/UxCVj
DX5Q5Hu5cF53JBh7KTs/W2nwEeBuji0=
=DNG1
-----END PGP SIGNATURE-----
