Thunderspy: Schutz von Thunderbolt-Anschlüssen vor Sicherheitslücken

Jena (pts030/31.07.2020/12:45) – Wie können sich Anwender vor den Schwachstellen namens Thunderspy schützen? Obwohl die Sicherheitslücken in der Thunderbolt-Technologie seit Mai 2020 bekannt ist, gibt es wenig Hilfestellungen, wie sich Anwender schützen können. Über Thunderspy kann ein Angreifer die Sicherheitsmaßnahmen der Thunderbolt-Schnittstelle auf einem Computer ändern – möglicherweise sogar entfernen. Infolgedessen kann ein Cyberkrimineller mit physischem Zugriff auf den Zielcomputer Daten darauf stehlen, selbst wenn eine vollständige Festplattenverschlüsselung verwendet wird, der Computer mit einem Kennwort gesperrt ist oder sich im Energiesparmodus befindet. Der europäische IT-Sicherheitshersteller hat nun einen umfassenden Ratgeber zu Thunderspy auf Welivesecurity veröffentlicht. Neben den Risiken, die die Sicherheitslücken darstellen, erklärt der ESET-Sicherheitsexperte Arjeh Goretsky, wie Schutzmaßnahmen aussehen müssen.

„Obwohl der neuartige Angriffsvektor gegen die Thunderbolt-Technologie in der Öffentlichkeit schnell bekannt geworden ist, ist nicht viel darüber gesagt worden, wie man sich vor Thunderspy schützen kann“, erklärt Aryeh Goretsky, Sicherheitsforscher bei ESET.

Schwachstellen für gezielte Angriffe einsetzbar

Thunderspy wurde vom Sicherheitsforscher Björn Ruytenberg entdeckt. In seinem Artikel auf Welivesecurity gibt Goretsky eine kurze Erläuterung zum technischen Hintergrund der Schwachstellen, konzentriert sich aber vor allem auf praktische Methoden zur Abwehr. Angriffe auf die Thunderbolt-Technologie finden sehr gezielt statt, da sie einen physischen Zugriff benötigen.

„Die Tatsache, dass ein typischer Benutzer nicht ins Fadenkreuz eines Angreifers gerät, bedeutet nicht, dass alle sicher sind. Für viele hat es Sinn, einigen der zugegebenermaßen drakonischen Empfehlungen zu folgen, die wir in unserem Artikel beschreiben“, kommentiert Goretsky.

Zwei Angriffsszenarien

Es gibt zwei Arten von Angriffsszenarien gegen die Thunderbolt-Sicherheitsmaßnahmen, um die Integrität eines Computers aufrechtzuerhalten. Die erste ist das Klonen der Identitäten von Thunderbolt-Geräten, die bereits vertrauenswürdig und vom Computer zugelassen sind. Die zweite besteht darin, die Sicherheit von Thunderbolt dauerhaft zu deaktivieren, so dass sie nicht wieder aktiviert werden kann.

„Der Klonangriff ähnelt Dieben, die einen Schlüssel stehlen und ihn kopieren. Danach können sie den kopierten Schlüssel verwenden, um das Schloss zu öffnen. Beim zweiten Angriff werden die Sicherheitsstufen von Thunderbolt dauerhaft deaktiviert und die Änderungen schreibgeschützt, so dass sie nicht rückgängig gemacht werden können“, erläutert Goretsky.

Keine der beiden Angriffsarten lässt sich einfach durchführen, da ein direkter Zugang zum Zielcomputer erforderlich ist, zusammen mit zahlreichen Tools, um Zugriff zu erlangen. Die Notwendigkeit, den Computer physisch zu manipulieren, schränkt den Kreis der potenziellen Opfer auf hochwertige Ziele ein. Interessant sind diese Sicherheitslücken für Geheimdienste oder Ermittlungsbehörden. Aber auch Angreifer mit kommerziellen Motiven, wie zum Beispiel Wirtschaftsspionage, können auf Thunderspy setzen.

Verschiedene Kategorien von Schutzmaßnahmen

Die Schutzmaßnahmen gegen Thunderspy-Angriffe lassen sich in verschiedene Kategorien einteilen. „Erstens: Verhindern Sie jeglichen unbefugten Zugriff auf Ihren Computer. Zweitens: Sichern Sie alle relevanten Schnittstellen und Anschlüsse Ihres Computers, wie beispielsweise USB-C. Außerdem sollten Sie über physische Maßnahmen hinausgehen und auch Schritte unternehmen, um die Firmware und Software Ihres Computers sicherer zu machen“, fasst Goretsky zusammen.

Der Artikel des Sicherheitsexperten enthält viele praktische Ratschläge zur Verbesserung der Sicherheit gegen Datendiebstahl durch Thunderspy, darunter auch einen, der sich als einfach, aber relativ sehr hilfreich erweist.

„Deaktivieren Sie den Ruhezustand oder andere hybride Abschaltmodi. Schalten Sie den Computer vollständig aus, wenn er nicht benutzt wird – so können Angriffe auf den Speicher des Computers über Thunderspy verhindert werden“, empfiehlt Goretsky.

Abgesehen von allen anderen Sicherheitsmaßnahmen sollten Anwender Schutzsoftware einsetzen, die die UEFI-Firmware des Computers scannen kann. Dies ist eines der Orte, an dem Thunderbolt-Sicherheitsinformationen gespeichert sind.

Den ESET-Ratgeber zu Thunderspy gibt es auf Welivesecurity: https://www.welivesecurity.com/deutsch/2020/07/31/thunderspy-angriffe-was-dahintersteckt-wer-gefaehrdet-ist-und-wie-man-sich-schuetzt/

(Ende)

Aussender: ESET Deutschland GmbH Ansprechpartner: Christian Lueg Tel.: +49 3641 3114 269 E-Mail: christian.lueg@eset.de Website: www.eset.com/de