Sicherheitslücke: Mit Thunderbolt auf den Arbeitsspeicher zugreifen

6
News Claus Ludewig Als bevorzugte Quelle auf Google hinzufügen
Mit Thunderbolt auf den Arbeitsspeicher zugreifen (1)
Quelle: Intel

Ein Sicherheitsforscher hat herausgefunden, dass der Thunderbolt-Anschluss über mehrere Schwachstellen verfügt. Wenn diese etwa mit dem Tool Thunderspy ausgenutzt werden, erhalten Angreifer Zugriff auf den Arbeitsspeicher.

Der Anschluss Thunderbolt wird vor allem von Intel und Apple immer weiterentwickelt. Mit diesem Port sollte der USB-Anschluss obsolet und durch einen noch leistungsfähigeren Anschluss ersetzt werden. Mittlerweile ist Thunderbolt in den USB-Typ-C-Anschluss integriert, wenn denn der Hardwarehersteller dies verbaut hat. Der Sicherheitsforscher Björn Ruytenberg hat nun in einem Video demonstriert, dass alle Thunderbolt-Anschlüsse über mehrere Sicherheitslücken verfügen. Manche Generationen haben gar sieben Sicherheitslücken. Wenn ein Angreifer etwa das Tool Thunderspy nutzt, kann er so die Thunderbolt-Schnittstelle umprogrammieren und erhält Zugriff auf den Arbeitsspeicher des PCs.

Alle Versionen von Thunderbolt angreifbar

Die Thunderbolt-Schnittstelle kann bei allen Geräten, die mit Thunderbolt ausgestattet sind, für derartige Zwecke genutzt werden. Erst seit dem Jahr 2019 gibt es erste Schutzmaßnahmen namens Intel Kernel DMA Protection, die aber nur teilweise einen Schutz bieten, so Ruytenberg. So würde etwa ein aktuelles Apple Macbook alle Sicherheitsmaßnahmen in Bezug auf die verbauten Thunderbolt-Ports deaktivieren, sobald es ins Bootcamp boote. Allerdings braucht der Angreifer einmalig physischen Zugriff auf das Gerät mit Thunderbolt-Anschluss, um sein Tool aktivieren zu können. Ist das geschehen, kann der Steuerungscontroller für den Thunderbolt-Anschluss dauerhaft umprogrammiert werden. So erhält der Hacker dann Zugriff auf den Arbeitsspeicher, ohne irgendwelche Sicherheitsabfragen beantworten zu müssen. Selbst wenn sich ein PC im Anmeldebildschirm befindet, kann ein Hacker auf den RAM zugreifen und sich etwa auch ohne Passworteingabe am gekaperten PC anmelden. Um zu überprüfen, ob der eigene PC über derartige Thunderbolt-Sicherheitslücken angegriffen werden könnte, bietet Ruytenberg ein Open-Source-Tool namens Spycheck an.

Wie Ruytenberg ausführt, sei ein Redesign auf Silikon-Ebene notwendig, um das Problem zu beheben. Ein Softwareupdate reiche hingegen nicht aus. Wie berichtet wird, sollen derartige Sicherheitsbedenken ein Grund sein, wieso Microsoft bei allen Surface-Geräten bis heute keinen Thunderbolt-Anschluss verbaut. Generell verbauen einige PC-Hersteller zwar USB-Typ-C-Ports, aber meistens ohne Thunderbolt-Funktion. Einige Dockingstationen jedoch setzen auf Thunderbolt 3, da man so eine - theoretische - Datenübertragung von 40 Gbit/s zur Verfügung hat plus eine eigene Stromversorgung mit bis zu 100 Watt. Thunderbolt kombiniert Datenübertragung sowie Displayport für die Videoausgabe und Aufladefunktion in nur einem Anschluss. Allerdings können diese Funktionen auch von USB-Typ-C ohne Thunderbolt übernommen werden, wenn Hardwarehersteller einen USB-C-Port mit entsprechenden Leitungsbahnen im Gerät verbaut haben.

Empfohlener redaktioneller Inhalt [EMBED_URL] An dieser Stelle finden Sie externe Inhalte von [PLATTFORM]. Zum Schutz Ihrer persönlichen Daten werden externe Einbindungen erst angezeigt, wenn Sie dies durch Klick auf "Alle externen Inhalte laden" bestätigen: Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt. Mehr dazu in unserer Datenschutzerklärung.
Externe Inhalte Mehr dazu in unserer Datenschutzerklärung.

Ebenfalls lesenswert: USB 4.0: Erste Produkte sollen Ende 2020 kommen - Konkurrent Thunderbolt rüstet auf

Fakten zu Sicherheitslücken bei Thunderbolt-Anschlüssen:

  • Der Sicherheitsforscher Björn Ruytenberg hat nun in einem Video demonstriert, dass alle Thunderbolt-Anschlüsse über mehrere Sicherheitslücken verfügen. Erst seit dem Jahr 2019 gibt es erste Schutzmaßnahmen namens Kernel DMA Protection, die aber nur teilweise einen Schutz biete, so Ruytenberg.
  • Der Angreifer braucht einmalig physischen Zugriff auf das Gerät mit Thunderbolt-Anschluss, um sein Tool aktivieren zu können. Wenn das erfolgt ist, kann der Steuerungscontroller für den Thunderbolt-Anschluss dauerhaft umprogrammiert werden. So erhält der Hacker dann Zugriff auf den Arbeitsspeicher und sieht etwa die gerade geöffneten Dateien.
  • Um diese Lücken im Thunderbolt-Anschluss schließen zu können, sei ein Redesign auf Silikon-Ebene notwendig, so der Sicherheitsforscher.
  • Thunderbolt wird als ein einzelner Anschluss für Stromzufuhr, Videoausgabe und Datenübertragung, vor allem von Apple und Intel gefördert. Einige Dockingstationen setzen auf diesen Anschlusstyp.

Quellen: Youtube, Apple, Thunderspy, Microsoft, Dr. Windows

6
    • Kommentare (6)

      Zur Diskussion im Forum
      • Von XETH PC-Selbstbauer(in)
        Zitat von PCGH-Redaktion
        (...) Wie Ruytenberg ausführt, sei ein Redesign auf Silikon-Ebene notwendig. (...)
        Soso Silikon-Ebene.
        Silicon != Silicone

        Auf deutsch ist das Silizium. 1:1 Übersetzung führt zu Müll.
      • Von XETH PC-Selbstbauer(in)
        Zitat von PCGH-Redaktion
        (...) Wie Ruytenberg ausführt, sei ein Redesign auf Silikon-Ebene notwendig. (...)
        Soso Silikon-Ebene.
        Silicon != Silicone

        Auf deutsch ist das Silizium. 1:1 Übersetzung führt zu Müll.
      • Von Pilo Software-Overclocker(in)
        Ja Potzblitz und Donnerwetter. Nach Blauzahn nun auch Donnerbolzen.
      • Von Acgira BIOS-Overclocker(in)
        Wenn ich also weder Intel noch Thunderbolt habe, dürfte ich mich davor vermutlich sicher fühlen.
      • Von PCGH_Torsten Kokü-Junkie (m/w)
        Das Problem dürften noch viele andere haben. Die Stärke von Thunderbolt ist die direkte PCI-Express-Intergration. Damit gehen natürlich alle PCI-E-Möglichkeiten einher und der hier beschriebene Angriff entspricht praktisch dem Einbau einer eigenen Microcontroller-Karte in einen Erweiterungsslot beziehungsweise die Umprogrammierung einer vorhandenen. Ob eine Radeon wohl Schutzmechanismen dagegen hat, dass ein Angreifer ihr BIOS umflashed und mit der neuen Version nicht nur die dort bewusst abgelegten Texturen, sondern auch fremde Daten aus dem RAM auszulesen versucht? Ich wage es zu bezweifeln.

        Wenn der Angriff mit beliebigen Geräten gelingen würde, wäre er ein ernstes Sicherheitsproblem, weil man die Thunderbolt-Ports im Gegensatz zu PCI-Express-Slots nicht in abgeschlossen Gehäusen versteckt werden können. (Umfrage: Wer hier hat sein Gehäuse verschlossen und sein Notebook mit kodierten Spezialschrauben gesichert?)
        Aber scheinbar werden die bestehenden Sicherheitsmechanismen entweder dadurch umgangen, dass der vorhandene Thunderbolt-Controller im PC umprogrammiert wird oder aber in dem man die Thunderbolt-ID eines bereits legitimierten Gerätes klont. In beiden Fällen braucht der Angreifer vollen Zugriff auf die Hardware des Angegriffenen.

        Ähnlich wie bei einigen IME-Hacks mag das in Hochsicherheitsumgebungen relevant sein, in denen man nicht einmal dem eigenen Hardware-Zulieferer oder -Admin vertraut. Aber da sollte man vielleicht allgemein alle USB-ähnlichen Ports mit Epoxy auffüllen.
      • Von Freakless08 Volt-Modder(in)
        Intel
      Direkt zum Diskussionsende
  • Print / Abo
    Apps
    PCGH Magazin 08/2026 PC Games 08/2026 play5 08/2026 N-Zone 08/2026 Linux Magazin 08/2026 LinuxUser 08/2026 Raspberry Pi Geek 09/2026
    PC Games Hardware PC Games Linux Magazin Raspberry Pi Geek Computec Kiosk