Thunderbolt-sårbarhet gjør det mulig å omgå hele Windows-innloggingen

[Harald Brombach (digi.no)]

Thunderbolt-sårbarhet gjør det mulig å omgå hele Windows-innloggingen

[NULL]

I praksis vel ikke så forskjellig fra det man også gjorde med Firewire for x antall år siden. Som også har DMA-støtte. Både for å bypasse innlogging, men evt. hente ut krypteringsnøkler og hva ellers som lå i minnet.

En del bedrifter kan nok godt ha PC-er med sikkerhetsmekanismer på plass, men kan godt være at brukere har deaktivert dem via BIOS hvor de har full tilgang. F.eks. er løsningen litt "upraktisk" med tanke på Thunderbolt-baserte dockingstasjoner, der man må opp med skjermen og skrive inn Windows-passordet før dockingstasjonen aktiveres. Som for Firewire må vel anbefalingen være at så lenge man egentlig ikke bruker det, bør det være deaktivert - og BIOS passordbeskyttet.

Så at dette er mulig er vel slik sett ikke noe nytt....

Ikke bare kan DMA gi mulighet for dette, men også kunne lese ut informasjon fra minnet. Egentlig litt interessant hva man kunne fått til via "rough" dockingstasjon ?

Så vidt jeg husker, er det slik på en del nye PC-er at en Thunderbolt-enhet også kan settes opp som "trusted". Aldri testet, men tror også dette ligger i BIOS på disse PC-ene.

Endret 11. mai 2020 av NULL

[inside_980467]

Har man fysisk tilgang, har man tilgang!

Så lenge angrepet faktisk innebærer å åpne maskinen fysisk, er det vel knapt grenser for mulige angrepsmetoder. Man kunne kanskje i stedet ta ut minnebrikkene, erstatte disse med mellomstykker, som gir mulighet for å inspisere og endre, og sette minnet i mellomstykkene?

Kun maskiner med ytterst få eksterne grensesnitt, fullstendig fylt med limt og som bruker diskkryptering og trusted boot, er noenlunde sikre.

[inside_980467]

Det skulle være interessant å vite om UEFI boot med boot verification var enablet. Hvis den er godt implementert, burde vel endret firmware i Thunderbolt kontroller stoppet boot-prosessen.