Een onderzoeker van de Technische Universiteit Eindhoven heeft Thunderspy gepresenteerd, een reeks kwetsbaarheden die de beveiliging van Thunderbolt 1, 2 en 3 doorbreekt. Voor misbruik is wel fysieke toegang en het openen van systemen vereist.

Volgens Björn Ruytenberg, student Computer Science and Engineering bij de TU/e, zijn alle systemen met Thunderbolt die tussen 2011 en 2020 zijn geleverd, kwetsbaar voor Thunderspy. Ook hebben de kwetsbaarheden misschien gevolgen voor op Thunderbolt 4 en usb 4, die gebaseerd zijn op Thunderbolt 3. Volgens Ruytenberg is het verhelpen van de kwetsbaarheden via software-updates niet mogelijk en zijn hardwarematige aanpassingen vereist. De kwetsbaarheden treffen met name Windows en Linux; de gevolgen voor macOS zijn beperkt. De onderzoeker heeft de gratis opensourcetool Spycheck voor Windows en Linux uitgebracht, waarmee gebruikers kunnen vaststellen of hun systeem kwetsbaar is.

Thunderspy kraakt de zogenoemde Security Levels die Intel bij Thunderbolt 2 introduceerde om eerdere zwaktes in de techniek te verhelpen. Security Levels biedt cryptografische authenticatie van vertrouwde Thunderbolt-apparaten om spoofing te voorkomen. Thunderspy omvat zeven kwetsbaarheden met betrekking tot Thunderbolt, waaronder problemen op het gebied van authenticatie van firmware en apparaten, en het gebrek aan Thunderbolt-beveiliging bij gebruik van Boot Camp om Windows op een Mac te draaien. Ruytenberg omschrijft enkele scenario's met proof-of-concepts om de kwetsbaarheden in de praktijk te kunnen uitbuiten.

Met Thunderspy kunnen kwaadwillenden willekeurige 'identiteiten' voor Thunderbolt-apparaten aanmaken en apparaten klonen die gebruikers al hebben goedgekeurd. Daarnaast heeft de onderzoeker een Thunderbolt Controller Firmware Patcher ontwikkeld, waarmee de beveiliging van Thunderbolt is uit te schakelen zonder dat toegang tot het bios of besturingssysteem noodzakelijk is. Ten slotte is er de tool SPIblock om toekomstige firmware-updates te voorkomen en de uitschakeling van de Thunderbolt-beveiliging permanent te maken.

Om de kwetsbaarheden met succes uit te buiten, is wel fysieke toegang nodig tot de kwetsbare systemen. Dit scenario staat bekend als evil maid-aanval, waarbij bijvoorbeeld een laptop die in een hotelkamer is achtergelaten, door een aanvaller onder handen kan worden genomen. De aanvaller moet een systeem openschroeven om de firmware-image van het spi-flashgeheugen van een Thunderbolt-hostcontroller te kunnen bemachtigen. Een systeem kan hierbij in slaapstand blijven en er hoeft ook geen login omzeild te worden.

Systemen met geactiveerde Kernel DMA Protection zijn deels beveiligd tegen Thunderspy. In de praktijk zijn dat enkele systemen die vanaf 2019 zijn geleverd. Ruytenberg noemt de HP EliteBook en ZBook van 2019 en later, de Lenovo ThinkPad P53, X1 Carbon van 2019 en later, en de Lenovo Yoga C940 met Intel Ice Lake-processors. Gebruikers die willen voorkomen dat hun systeem vatbaar is voor Thunderspy, krijgen het advies Thunderbolt in het bios uit te schakelen. Hoe dan ook adviseert de onderzoeker systemen niet in slaapstand onbeheerd achter te laten en alleen vertrouwde Thunderbolt-accessoires aan te sluiten. Bij het afsluiten van het systeem of in hibernation zijn de door hem ontwikkelde tools niet te gebruiken.

Ruytenberg heeft Intel in februari en maart van de verschillende kwetsbaarheden op de hoogte gebracht. De chipfabrikant zou hierna slechts een beperkt aantal partners hebben ingelicht. De onderzoeker omschrijft zijn bevindingen in een document met de titel Breaking Thunderbolt Protocol Security: Vulnerability Report. Tijdens de Black Hat-conferentie later dit jaar presenteert hij meer details. Hij bouwt met zijn onderzoek voort op de Thunderclap-aanval, die een jaar geleden werd onthuld.