Grote Thunderbolt-kwetsbaarheid geeft hackers toegang tot Windows, macOS en Linux

De manier waarop Thunderbolt vandaag is geïntegreerd in alle grote besturingssystemen leent zich tot misbruik, blijkt uit onderzoek. Een verzameling van kwetsbaarheden die samen door het leven gaat als Thunderclap geeft malafide hardware aangesloten via Thunderbolt vrijwel ongeremde toegang.

Alle Thunderbolt-standaarden doen dubbel dienst als achterpoort voor creatieve hackers. Zowel de klassieke Thunderbolt-aansluitingen (versie 1 en 2) als versie 3 die vandaag doorgaans via de usb type-c-aansluiting wordt ondersteund, zijn kwetsbaar. Zoals al grote kwetsbaarheden met een flinke impact heeft ook deze een naam: Thunderclap.

Windows, mac en Linux

Het grote probleem ligt bij het inherente vertrouwen dat Thunderbolt geniet binnen een besturingssysteem. Zowel Windows, macOS als Linux geven randapparatuur aangesloten via de standaard meteen ongeremde toegang tot het geheugen. Direct Memory Access of DMA heet dat. Het zorgt er concreet voor dat iemand bijvoorbeeld een externe HDD kan maken met daarin een chip die malafide code wil uitvoeren. Wie die harde schijf aansluit zal niets merken, maar de chip is wel in staat om terzelfdertijd ongeremd kwaadaardige code uit te voeren op het getroffen systeem.

Er bestaat een remedie tegen Thunderclap: Input-Output Memory Management Units (IOMMU). IOMMU zorgt in principe voor een barrière tussen het geheugen dat een extern toestel aanspreekt, en de rest van het OS. In de praktijk is IOMMU heel vaak niet ingeschakeld, en als dat toch het geval is, dan is de implementatie vaak waardeloos. Zo worden data van gebruikers geregeld uitgevoerd in gereserveerde IOMMU-geheugenruimte, wat het hele concept nutteloos maakt.

Nog steeds kwetsbaar

Een internationaal onderzoeksteam ontdekte Thunderclap al in 2016. De afgelopen drie jaar werkten de onderzoekers in alle stilte samen met de ontwikkelaars van de belangrijkste besturingssystemen om een oplossing te faciliteren. In de praktijk toonden de meesten volgens ZDNet weinig ambititie. Windows 10 schakelt IOMMU standaard aan vanaf versie 1803, op voorwaarde dat de computer in kwestie in 2018 van de band rolde en Apple loste één specifieke implementatie van de kwetsbaarheid op maar liet andere onaangeroerd. In de nieuwste versie van Linux zitten wel een aantal patches van Intel verwerkt.

In de praktijk is voorzichtigheid geboden. Stop niets extern in een aansluiting als het afkomstig is van een bron die je niet vertrouwt. Dat is goede raad voor Thunderbolt, maar ook usb (dat op een gelijkaardige manier kan worden uitgebuit), en het leven in het algemeen.