YouTuber hakkeroi BitLockerin alle minuutissa

Lukuajan kuvake 2 min. lukea


Lukijat auttavat tukemaan MSpoweruseria. Saatamme saada palkkion, jos ostat linkkien kautta. Työkaluvihje-kuvake

Lue ilmoitussivumme saadaksesi selville, kuinka voit auttaa MSPoweruseria ylläpitämään toimitustiimiä Lue lisää

Keskeiset huomautukset

  • Tutkija sieppaa BitLocker-avaimet alle minuutissa, mutta vain vanhemmilla laitteilla, joilla on tietty käyttöoikeus.
  • Exploit kohdistuu salaamattomaan viestintään käynnistyksen aikana, ei itse salaukseen.

Turvallisuustutkijat ovat tunnistaneet a mahdollinen haavoittuvuus Microsoftin BitLocker Drive Encryptionissa, joka on suosittu työkalu arkaluonteisten tietojen suojaamiseen Windows-laitteissa. 

Haavoittuvuus, jonka YouTuber-pino osoitti äskettäin julkaistussa videossa, käsittää Trusted Platform Modulen (TPM) ja CPU:n välisen viestinnän sieppaamisen käynnistyksen aikana, jolloin hyökkääjät voivat varastaa salausavaimia ja purkaa tallennettujen tietojen salauksen.

Hyödyntäminen riippuu siitä, että jotkut vanhemmat laitteet, joissa on ulkoiset TPM-moduulit, luottavat salaamattomaan viestintäkanavaan (LPC-väylään) kriittisten tietojen vaihtamiseksi suorittimen kanssa käynnistyksen aikana. 

Stack Smashing pystyi hyödyntämään tätä haavoittuvuutta yhdistämällä helposti saatavilla olevan Raspberry Pi Picon emolevyn käyttämättömään LPC-liittimeen, sieppaamalla tietovirran ja purkamalla salauksen purkamiseen käytetyn Volume Master Key -avaimen. Tämä prosessi kesti kuulemma alle minuutin.

On tärkeää huomata, että tällä hyökkäyksellä on rajoituksia. Se vaikuttaa ensisijaisesti vanhempiin laitteisiin, joissa on ulkoiset TPM-moduulit, kun taas uudemmat järjestelmät, joissa on fTPM (firmware TPM), joiden tiedot ovat suorittimen sisällä, eivät ole haavoittuvia. Lisäksi, vaaditaan fyysistä pääsyä laitteeseen ja erityistä teknistä tietämystä suorittaakseen hyökkäyksen onnistuneesti.

Viime kuussa tuli toinen haavoittuvuus BitLocker havaittiin, jolloin hyökkääjät voivat ohittaa salauksen Windowsin palautusympäristön (WinRE) kautta. Microsoft ratkaisi tämän ongelman tietoturvakorjauksella KB5034441 ja korosti järjestelmien päivittämisen tärkeyttä.

Käyttäjäfoorumi

1-viestit