Logo: Markettos et al. // Samenstelling: ZDNet
Windows -, Mac -, Linux-en FreeBSD-systemen worden allemaal beïnvloed door een nieuw beveiligingslek dat deze week werd bekendgemaakt op de NDSS 2019 security conference.
De kwetsbaarheid –met de naam Donderslag– beïnvloedt de manier waarop Thunderbolt-gebaseerd randapparatuur toegestaan wordt om te verbinden en communiceren met deze besturingssystemen, waardoor een kwaadwillende apparaat te stelen gegevens rechtstreeks vanuit het besturingssysteem geheugen, waaronder de zeer gevoelige informatie.
Het onderzoeksteam achter deze kwetsbaarheid zegt dat “alle Apple laptops en desktops die sinds 2011 zijn kwetsbaar, met uitzondering van de 12-inch MacBook.”
Ook “veel laptops en sommige desktops, ontworpen voor het uitvoeren van Windows of Linux geproduceerd sinds 2016 worden ook beïnvloed,” zolang ze ondersteuning van de Thunderbolt-interfacing.
Wat is Thunderbolt?
Thunderbolt is de naam van een hardware-interface ontworpen door Apple en Intel om de aansluiting van een externe randapparatuur (toetsenborden, opladers, video projectoren, netwerk kaarten, enz.) op een computer.
Deze interfaces werd razend populair, omdat ze de combinatie van de verschillende technologieën in één enkele kabel, zoals de mogelijkheid om te zenden DC-voeding (voor het opladen van toepassing), seriële data (via de PCI Express), en video-uitgang (via DisplayPort).
De technologie werd in eerste instantie beschikbaar voor de Apple-apparaten, maar werd later beschikbaar gemaakt voor alle hardware leveranciers, en werd alom tegenwoordig, vooral dankzij de standaard de nieuwste versie, Thunderbolt-3.
Maar volgens de onderzoekers, alle Thunderbolt-versies worden beïnvloed door een Donderslag. Dit betekent Thunderbolt 1 en 2 (de interface versies die gebruik maken van een Mini DisplayPort – [PROGRAMMA] – aansluiting) en de Thunderbolt-3 (die werkt via USB-C-poorten).
Wat is Donderslag?
Donderslag is een verzameling van gebreken in de manier waarop de Thunderbolt hardware-interface geïmplementeerd is op de operationele systemen.
De kern van dit beveiligingslek, onderzoekers zeggen dat ze het exploiteren van een OS design probleem waar het besturingssysteem automatisch geloof brengt bij elk nieuw aangesloten randapparaten, toegang te verlenen tot alle in zijn geheugen –een staat bekend als DMA (Direct Memory Access).
Donderslag gebreken aanvallers maken schadelijk, maar volledig werkende randapparatuur dat als deze is aangesloten via een Thunderbolt-poort kan het uitvoeren van hun normale bedrijfsvoering, maar ook kwaadaardige code uitvoeren in het besturingssysteem van de achtergrond, zonder enige beperking van het besturingssysteem.
Dit maakt de Donderslag aanval zeer gevaarlijk, omdat het gemakkelijk kan worden verborgen in alle randapparatuur.
De Donderslag kwetsbaarheden zijn zelfs in staat om van het omzeilen van een OS security functie bekend als Input-Output Geheugen Beheer Eenheden (IOMMUs) dat de hardware en OS-makers hebben gemaakt in het begin van de jaren 2000 om tegen de schadelijke randapparatuur die misbruik maken van hun toegang tot het gehele OS geheugen (in wat bekend staat als een DMA-aanval).
De reden waarom Donderslag kwetsbaarheden werk tegen IOMMU is omdat besturingssystemen uitschakelen van deze functie is standaard, of, in de gevallen waarin de functie is ingeschakeld door de gebruiker, de OS laat gebruikers data in dezelfde ruimte in het geheugen waar de kwaadaardige perifere loopt de exploit code, waardoor IOMMU nutteloos.
Wat wordt er aan gedaan?
Onderzoekers van de Universiteit van Cambridge, de Rice University en SRI International ontdekte de Donderslag problemen terug in 2016, en ze zijn het werken met hardware en OS-versies voor drie jaar in complete stilte te laten vast.
Echter, ondanks de bijna drie jaar waarschuwing, OS makers zijn traag te reageren, met de meeste van de Donderslag aanval variaties beschreven in een research paper publiceerde vandaag de dag nog steeds werken. Hier is de huidige stand van patches, volgens de onderzoekers:
Windows – Microsoft “hebt ingeschakeld ondersteuning voor de IOMMU voor Thunderbolt-apparaten in Windows 10 versie 1803, dat wordt geleverd in 2018. Eerdere hardware upgrade naar 1803 vereist een update van de firmware van de fabrikant. Dit brengt hen in lijn met de uitgangspunten voor ons werk, maar de meer complexe beveiligingsproblemen beschrijven we relevant blijven.”
macOS – “In macOS 10.12.4 en hoger, Apple ingegaan op de specifieke netwerkkaart kwetsbaarheid hebben we gebruikt om het bereiken van een root shell. Maar de algemene strekking van ons werk is nog steeds van toepassing; in het bijzonder die Thunderbolt-apparaten toegang hebben tot alle netwerkverkeer en soms toetsaanslagen en framebuffer gegevens.”
Linux – “Onlangs, Intel hebben bijgedragen patches naar versie 5.0 van de Linux kernel (binnenkort uitgebracht worden) die ervoor zorgen dat de IOMMU voor Thunderbolt en het voorkomen van de bescherming-bypass kwetsbaarheid die gebruik maakt van de ATS-functie van PCI-Express’.
FreeBSD – “Het FreeBSD Project is aangegeven dat de kwaadaardige randapparatuur zijn momenteel niet binnen hun bedreiging model voor security response. FreeBSD ondersteunt momenteel geen Thunderbolt hotplugging.”
Zoals de tabel laat zien dat de meeste Donderslag gebreken zijn nog niet gecorrigeerde.
Afbeelding: Markettos et al.
In de tussentijd worden gebruikers geadviseerd de voor het uitschakelen van de Thunderbolt-poorten via de BIOS/UEFI firmware-instellingen en om te voorkomen dat de stekker in randapparatuur van niet-vertrouwde bronnen.
Technische details over de Donderslag gebreken zijn beschikbaar in een research paper getiteld “Donderslag: Verkenning van Kwetsbaarheden in het Besturingssysteem IOMMU Bescherming via DMA van Onbetrouwbare Randapparatuur,” beschikbaar voor download in PDF-formaat hier en hier, met meer details vindt u hier.
Het onderzoek bracht ook de “Donderslag platform op GitHub, dat is een verzameling van kant-en-klare proof-of-concept code voor het maken van schadelijke Donderslag randapparatuur.
Extra details zijn ook verkrijgbaar op een speciale website en in deze blog post.
Als een afsluitende opmerking, Donderslag kwetsbaarheden kan ook worden benut door het gedrang komt PCI Express (PCIe) – randapparatuur, zoals de plug-in kaarten of chips gesoldeerd aan het moederbord, maar deze aanvallen vereist het compromitteren van de randapparatuur van de firmware, waardoor de aanval veel moeilijker om af te trekken dan alleen het aansluiten van een oplader of video projector via een Thunderbolt-interface.
Verwante cybersecurity nieuws:
Hackers kunnen kapen bare-metal cloud servers door de beschadiging van hun BMC firmwareA derde van alle Chrome-extensies verzoek toegang tot de gegevens van de gebruiker op enig siteResearchers verbergen malware in goedaardige apps met behulp van speculatieve uitvoering
Nieuwe browser-aanval laat hackers uitvoeren slechte code zelfs nadat de gebruiker laat een web pageResearchers breken digitale handtekeningen voor de meeste desktop PDF viewersIt nam hackers slechts drie dagen te gaan benutten nieuwste Drupal bug
Ernstige kwetsbaarheid gevonden in Android ES File Explorer app TechRepublicXiaomi elektrische scooter naar verluidt kwetsbaar voor het kapen van hack CNET
Verwante Onderwerpen:
Hardware
Beveiliging TV
Data Management
CXO
Datacenters