BitLocker od Microsoftu to jedno z łatwiej dostępnych rozwiązań, które umożliwia użytkownikom bezpieczne szyfrowanie i ochronę danych przed niepożądanym dostępem. Wygląda jednak na to, że funkcja BitLocker nie jest tak bezpieczna, jak mogłoby się wydawać.
Na początku tego tygodnia YouTuber stacksmashing opublikował film pokazujący, jak udało mu się przechwycić dane BitLockera i wykraść klucze szyfrujące, co pozwoliło mu odszyfrować pliki przechowywane w systemie. Co więcej, potrzebował do tego jedynie 43 sekundy, używając Raspberry Pi Pico, czyli sprzętu, który kosztuje mniej niż 10 dolarów.
Aby przeprowadzić atak, wykorzystał moduł Trusted Platform Module, czyli TPM. W większości komputerów i laptopów biznesowych moduł TPM znajduje się na zewnątrz i wykorzystuje magistralę LPC do wysyłania i odbierania danych z procesora. Funkcja BitLocker firmy Microsoft wykorzystuje moduł TPM do przechowywania krytycznych danych, takich jak rejestry konfiguracji platformy i klucz VMK (Volume Master Key).
YouTuber stacksmashing opublikował film pokazujący, jak udało mu się przechwycić dane BitLockera.
Podczas testowania okazało się, że magistrala LPC komunikuje się z procesorem za pośrednictwem ścieżek komunikacyjnych, które nie są szyfrowane podczas uruchamiania systemu i można je wykorzystać do kradzieży krytycznych danych. Dokonał ataku na starym laptopie Lenovo, który miał nieużywane złącze LPC na płycie głównej obok gniazda SSD M.2. stacksmashing podłączył Raspberry Pi Pico do metalowych pinów na nieużywanym złączu, aby przechwycić klucze szyfrujące podczas uruchamiania. Raspberry Pi zostało ustawione tak, aby przechwytywać binarne zera i jedynki z modułu TPM podczas bootowania systemu, co umożliwiło mu złożenie klucza VKM. Następnie wystarczyło, żeby wyjął zaszyfrowany dysk i użył narzędzia Dislocker z VKM, aby odszyfrować dysk.
Microsoft potwierdza, że ataki te są możliwe, ale twierdzi, że będą wymagały wyrafinowanych narzędzi i długiego fizycznego dostępu do urządzenia. Jednak, jak pokazano na filmie, ktoś przygotowany do przeprowadzenia ataku może tego dokonać w mniej niż minutę.
Istnieją jednak pewne zastrzeżenia, o których należy pamiętać. Atak ten może działać tylko z zewnętrznymi modułami TPM, gdzie procesor musi uzyskać dane z modułu na płycie głównej. Wiele nowych laptopów i procesorów do komputerów stacjonarnych jest teraz wyposażonych w fTPM, w którym krytyczne dane są przechowywane i zarządzane w samym procesorze. To powiedziawszy, Microsoft zaleca skonfigurowanie kodu PIN funkcji BitLocker w celu powstrzymania tych ataków, ale nie jest to łatwe, ponieważ konieczne będzie skonfigurowanie zasad grupy w celu ustawienia takiego PINu.
Pokaż / Dodaj komentarze do: Szyfrowanie BitLockerem złamane w 43 s przy użyciu sprzętu za niecałe 10 USD