Microsoft 的 BitLocker 加密是更容易使用的加密解決方案之一,它允許用戶安全地加密資料並保護資料免受威脅行為者的侵害。然而,BitLocker 似乎並不像人們想像的那麼安全。
本週早些時候,YouTuber stacksmashing 發布了一段視頻,展示了他如何攔截 BitLocker 資料並竊取加密金鑰,從而使他能夠解密系統上儲存的資料。不僅如此,他還使用成本可能不到 10 美元的 Raspberry Pi Pico 在 43 秒內獲得了結果。
為了執行攻擊,他利用了可信任平台模組(TPM)。在大多數電腦和繁忙的筆記型電腦中,TPM 位於外部並使用 LPC 匯流排從 CPU 發送和接收資料。 Microsoft 的 BitLocker 依賴 TPM 來儲存平台配置暫存器和磁碟區主金鑰等關鍵資料。
在測試 stacksmashing 時發現,LPC 匯流排透過通訊通道與 CPU 進行通信,這些通道在啟動時未加密,並且可以被利用以竊取關鍵資料。他對一台舊聯想筆記型電腦執行了攻擊,該筆記型電腦的主機板上 M.2 SSD 插槽旁邊有一個未使用的 LPC 連接器。 stacksmashing 將 Raspberry Pi Pico 連接到未使用連接器上的金屬引腳,以在啟動時捕獲加密金鑰。 Raspberry Pi 設定為在系統啟動時從 TPM 捕獲二進位 0 和 1,從而允許他拼湊出磁碟區主金鑰。完成後,他取出加密的驅動器,並使用帶有捲主密鑰的解鎖器來解密該驅動器。
微軟確實指出這些攻擊是可能的,但表示這將需要複雜的工具和對設備的長時間實體存取。然而,如影片所示,準備執行攻擊的人可以在不到一分鐘的時間內完成攻擊。
然而,需要牢記一些注意事項。此攻擊僅適用於外部 TPM 模組,其中 CPU 需要從主機板上的模組取得資料。許多新的筆記型電腦和桌上型電腦 CPU 現在都配備了 fTPM,其中關鍵資料在 CPU 內部儲存和管理。也就是說,Microsoft 確實建議設定 BitLocker PIN 來阻止這些攻擊,但這並不容易,因為您需要設定群組原則來設定 PIN。
發佈留言