Szyfrowanie funkcją BitLocker firmy Microsoft to jedno z łatwiej dostępnych rozwiązań szyfrujących, które umożliwia użytkownikom bezpieczne szyfrowanie i ochronę danych przed ugrupowaniami zagrażającymi. Wygląda jednak na to, że funkcja BitLocker nie jest tak bezpieczna, jak mogłoby się wydawać.
Na początku tego tygodnia YouTuber stacksmashing opublikował film pokazujący, jak udało mu się przechwycić dane funkcji BitLocker i ukraść klucze szyfrujące, co pozwoliło mu odszyfrować dane przechowywane w systemie. Co więcej, osiągnął wyniki w 43 sekundy, używając Raspberry Pi Pico, który prawdopodobnie kosztuje mniej niż 10 dolarów.
Aby przeprowadzić atak, wykorzystał moduł Trusted Platform Module, czyli TPM. W większości komputerów i laptopów o dużej wydajności moduł TPM znajduje się na zewnątrz i wykorzystuje magistralę LPC do wysyłania i odbierania danych z procesora. Funkcja BitLocker firmy Microsoft wykorzystuje moduł TPM do przechowywania krytycznych danych, takich jak rejestry konfiguracji platformy i główny klucz woluminu.
Podczas testowania rozbijania stosów okazało się, że magistrala LPC komunikuje się z procesorem za pośrednictwem ścieżek komunikacyjnych, które nie są szyfrowane podczas uruchamiania systemu i można je wykorzystać w celu kradzieży krytycznych danych. Dokonał ataku na starym laptopie Lenovo, który miał nieużywane złącze LPC na płycie głównej obok gniazda SSD M.2. stacksmashing podłączył Raspberry Pi Pico do metalowych pinów na nieużywanym złączu, aby przechwycić klucze szyfrujące podczas uruchamiania. Raspberry Pi zostało ustawione tak, aby przechwytywać binarne zera i jedynki z modułu TPM podczas uruchamiania systemu, co umożliwiło mu złożenie głównego klucza głośności. Gdy już to zrobił, wyjął zaszyfrowany dysk i użył narzędzia Dislocker z głównym kluczem woluminu, aby odszyfrować dysk.
Microsoft zauważa, że ataki te są możliwe, ale twierdzi, że będą wymagały wyrafinowanych narzędzi i długiego fizycznego dostępu do urządzenia. Jednak, jak pokazano na filmie, ktoś przygotowany do przeprowadzenia ataku może tego dokonać w mniej niż minutę.
Istnieją jednak pewne zastrzeżenia, o których należy pamiętać. Atak ten może działać tylko z zewnętrznymi modułami TPM, gdzie procesor musi uzyskać dane z modułu na płycie głównej. Wiele nowych laptopów i procesorów do komputerów stacjonarnych jest teraz wyposażonych w fTPM, w którym krytyczne dane są przechowywane i zarządzane w samym procesorze. To powiedziawszy, Microsoft zaleca skonfigurowanie kodu PIN funkcji BitLocker w celu powstrzymania tych ataków, ale nie jest to łatwe, ponieważ konieczne będzie skonfigurowanie zasad grupy w celu skonfigurowania kodu PIN.
Dodaj komentarz