YouTuber hacker BitLocker på under et minut

Sikkerhedsforskere har identificeret en potentiel sårbarhed i Microsofts BitLocker Drive Encryption, et populært værktøj til beskyttelse af følsomme data på Windows-enheder. 

Sårbarheden, som blev demonstreret af YouTubers stack-smashing i en nylig video, involverer opsnapning af kommunikation mellem Trusted Platform Module (TPM) og CPU'en under opstart, hvilket potentielt giver angribere mulighed for at stjæle krypteringsnøgler og dekryptere lagrede data.

Udnyttelsen afhænger af, at nogle ældre enheder med eksterne TPM-moduler er afhængige af en ukrypteret kommunikationskanal (LPC-bus) til at udveksle kritiske data med CPU'en under opstart. 

Stack smashing var i stand til at udnytte denne sårbarhed ved at forbinde en let tilgængelig Raspberry Pi Pico til et ubrugt LPC-stik på bundkortet, fange datastrømmen og udtrække Volume Master Key, der blev brugt til dekryptering. Denne proces tog efter sigende mindre end et minut at fuldføre.

Det er afgørende at bemærke, at dette angreb har begrænsninger. Det påvirker primært ældre enheder med eksterne TPM-moduler, mens nyere systemer med fTPM (firmware TPM), hvor data findes i CPU'en, ikke er sårbare. Derudover fysisk adgang til enheden og specifik teknisk viden er påkrævet for at udføre angrebet med succes.

Sidste måned, endnu en sårbarhed i BitLocker blev opdaget, hvilket tillod angribere at omgå kryptering gennem Windows Recovery Environment (WinRE). Microsoft løste dette problem med sikkerhedspatch KB5034441, der understregede vigtigheden af ​​at opdatere systemer.