Thunderspy kwetsbaarheden in Thunderbolt
Een onderzoeker van de TU Eindhoven heeft zeven kwetsbaarheden, genaamd Thunderspy, ontdekt in Thunderbolt van Intel. Thunderbolt is een computerpoort, te herkennen aan de bliksemschicht, voor snelle gegevensoverdracht tussen een PC of laptop en andere apparaten en is sinds 2011 in veel laptops en PC's te vinden.
Normaliter accepteert een systeem met Thunderbolt alleen maar apparaten die door de gebruiker zijn goedgekeurd. Door het herprogrammeren van de firmware is het echter mogelijk om het ingestelde beveiligingsniveau te veranderen, zodat een kwaadwillende met fysieke toegang tot een PC of laptop de kwetsbaarheden kan gebruiken om malafide randapparatuur te laten accepteren door het systeem van het slachtoffer.
Middels deze malafide randapparatuur kan de kwaadwillende toegang krijgen tot het geheugen en aangesloten bestandssystemen. Een voorwaarde is dat het systeem aan staat, in slaapstand staat of dat er schermvergrendeling is toegepast. Meer informatie vindt u ook in het beveiligingsadvies over deze kwetsbaarheden.
Wat betekent dit voor u?
De kans op misbruik van deze kwetsbaarheden is gemiddeld, omdat fysieke toegang noodzakelijk is. De kans op schade is echter hoog, omdat er geen mitigerende maatregelen zijn voor systemen van voor 2019 en systemen van daarna die niet beschikken over Kernel DMA protection. Bij dienstreizen, bijvoorbeeld naar het buitenland, loopt u mogelijk meer risico vanwege mogelijk interesse in gegevens die op uw apparatuur staan.
Wat adviseert het NCSC?
Er zijn geen updates voor Thunderbolt, aangezien het hardware betreft. Het NCSC raadt aan om uw apparaten met Thunderboltpoorten niet onbeheerd achter te laten en het apparaat uit te schakelen wanneer u er geen gebruik van maakt en deze niet in de slaapstand te zetten. Gebruik daarnaast alleen vertrouwde randapparatuur en voorkom ongeautoriseerd fysieke toegang tot systemen.
Voor systemen vanaf 2019 die beschikken over VT-d en DMAr met een actueel besturingssysteem is het mogelijk om Kernel DMA Protection te activeren. Hiermee wordt een stuk van het geheugen geïsoleerd voor het Thunderbolt apparaat. Dit moet zowel in het BIOS als besturingssysteem worden geactiveerd.
Wanneer Kernel DMA Protection niet beschikbaar is en Thunderbolt niet essentieel is, kan Thunderbolt worden uitgeschakeld in het BIOS.
Als u of uw medewerkers naar het buitenland reizen, bijvoorbeeld naar risicolanden, kunt u overwegen om reguliere zakelijke en privé-apparatuur thuis te laten en vervangende apparatuur mee te nemen die enkel voor de reis gebruikt zal worden. Minimaliseer daarnaast de hoeveelheid belangrijke en/of gevoelige informatie op de apparatuur. Meer informatie over mogelijke risico’s bij het reizen naar het buitenland kunt u vinden op de website van de AIVD.