Bloqueo del controlador SBP-2 y de las controladoras Thunderbolt para reducir las amenazas de DMA a través de Thunderbolt y 1394 a BitLocker

Seleccione idioma Seleccione idioma
Id. de artículo: 2516445 - Ver los productos a los que se aplica este artículo
El soporte técnico para Windows Vista Service Pack 1 (SP1) finalizó el 12 de julio de 2011. Para seguir recibiendo actualizaciones de seguridad para Windows, asegúrese de que está ejecutando Windows Vista con Service Pack 2 (SP2). Para obtener más información, consulte el siguiente sitio web de Microsoft: El soporte técnico finalizará para algunas versiones de Windows
Expandir todo | Contraer todo

Síntomas

Puede que un equipo protegido mediante BitLocker sea vulnerable a ataques de acceso directo a memoria (DMA) cuando el equipo está encendido o suspendido. Esto puede ocurrir también cuando el escritorio está bloqueado.

BitLocker con la autenticación solo de TPM permite que un equipo entre en el estado de encendido sin ninguna autenticación previa al arranque. Por lo tanto, un atacante puede realizar ataques de DMA.

En este tipo de configuración, un atacante puede buscar las claves de cifrado de BitLocker en la memoria del sistema suplantando la identidad del Id. de hardware SBP-2 mediante un dispositivo de ataque conectado a un puerto 1394. También es posible que un puerto Thunderbolt activo proporcione acceso a la memoria del sistema para realizar un ataque.

Este artículo se aplica a los siguientes sistemas:
  • Sistemas que se dejan encendidos
  • Sistemas que se dejan en estado de suspensión
  • Sistemas que usan el protector de BitLocker solo para TPM

Causa

DMA físico a través de 1394

Los controladores 1394 estándar de industria (compatibles con OHCI) proporcionan la funcionalidad que permite el acceso a la memoria del sistema. Esta funcionalidad se proporciona como una mejora de rendimiento. Permite que grandes cantidades de datos se transfieran directamente entre el dispositivo 1394 y la memoria del sistema, omitiendo el software y la CPU. De forma predeterminada, el DMA físico a través de 1394 está deshabilitado en todas las versiones de Windows. Las siguientes opciones están disponibles para habilitar el DMA físico a través de 1394:
  • Un administrador habilita la depuración del kernel a través de 1394.
  • Alguien que disponga de acceso físico al equipo conecta un dispositivo de almacenamiento 1394 que cumpla con la especificación SBP-2.
Amenazas de DMA a través de 1394 a BitLocker

Las comprobaciones de integridad del sistema de BitLocker protegen contra los cambios de estado de depuración del kernel no autorizados. Sin embargo, un atacante puede conectar un dispositivo de ataque a un puerto 1394 y, a continuación, suplantar la identidad de un id. de hardware SBP-2. Cuando Windows detecta el id. de hardware SBP-2, carga el controlador SBP-2 (sbp2port.sys) y, a continuación, le indica al controlador que permita que el dispositivo SBP-2 realice el DMA. Esto permite a un atacante obtener acceso a la memoria del sistema y buscar las claves de cifrado de BitLocker.

DMA físico a través de Thunderbolt

Thunderbolt es un nuevo bus externo con una funcionalidad que permite el acceso directo a la memoria del sistema. Esta funcionalidad se proporciona como una mejora de rendimiento. Permite que grandes cantidades de datos se transfieran directamente entre el dispositivo Thunderbolt y la memoria del sistema, omitiendo de este modo el software y la CPU. Thunderbolt no es compatible con ninguna versión de Windows; sin embargo, los fabricantes siguen incluyendo este tipo de puerto.

Amenazas de Thunderbolt a BitLocker

Un atacante podría conectar un dispositivo especialmente diseñado a un puerto Thunderbolt y obtener acceso directo a memoria total mediante el bus PCI Express. Esto podría permitir que un atacante obtuviera acceso a la memoria del sistema y buscase las claves de cifrado de BitLocker.

Solución

Algunas configuraciones de BitLocker pueden reducir el riesgo de que se produzca este tipo de ataque. Los protectores TPM+PIN, TPM+USB y TPM+PIN+USB reducen el efecto de los ataques de DMA cuando los equipos no usan el modo de suspensión (de RAM). Si su organización permite los protectores de solo TPM o es compatible con los equipos en modo de suspensión, se recomienda bloquear el controlador Windows SBP-2 y todas las controladoras Thunderbolt para reducir el riesgo de sufrir ataques de DMA.

Para obtener más información acerca de cómo hacerlo, vaya al siguiente sitio web de Microsoft:

Mitigación de SBP-2

En el sitio web anteriormente mencionado, consulte la sección "Impedir la instalación de controladores que coinciden con estas clases de instalación de dispositivo" en "Configuración de directiva de grupo para instalaciones de dispositivos".

A continuación se muestra el GUID de la clase de instalación de dispositivos Plug and Play para una unidad SBP-2:
d48179be-ec20-11d1-b6b8-00c04fa372a7

Mitigación de Thunderbolt

Importante La siguiente mitigación de Thunderbolt es aplicable únicamente a Windows 8 y Windows Server 2012. No es aplicable a ningún otro de los sistemas operativos mencionados en la sección "Se aplica a".

En el sitio web anteriormente mencionado, consulte la sección "Impedir la instalación de dispositivos que coinciden con estos id. de dispositivo" en "Configuración de directiva de grupo para instalaciones de dispositivos".

A continuación se muestra el id. compatible de Plug and Play para una controladora Thunderbolt:
PCI\CC_0C0A


Notas
  • Esta mitigación tiene algunos inconvenientes: los dispositivos de almacenamiento externos ya no podrán conectarse a través del puerto 1394 y todos los dispositivos PCI Express conectados al puerto Thunderbolt dejarán de funcionar. Como USB y eSATA están muy extendidos y DisplayPort suele funcionar incluso cuando Thunderbolt está deshabilitado, los efectos negativos provocados por estas mitigaciones no deberían ser muy preocupantes.
  • Si su hardware difiere de la Guía de ingeniería de Windows actual, debería habilitar DMA en estos puertos después de iniciar el equipo y antes de que Windows tome el control del hardware. Esto podría poner su sistema en peligro, y esta solución no remedia esta situación.

Más información

Para obtener más información acerca de las amenazas de DMA a BitLocker, visite el siguiente blog de seguridad de Microsoft:
Notificaciones de Windows BitLocker
Para obtener más información acerca de las mitigaciones de los ataques en frío contra BitLocker, visite el siguiente blog del equipo de integridad de Microsoft:
Protección de BitLocker contra los ataques en frío

Propiedades

Id. de artículo: 2516445 - Última revisión: jueves, 09 de agosto de 2012 - Versión: 8.0
La información de este artículo se refiere a:
  • Windows 7 Service Pack 1 sobre las siguientes plataformas
    • Windows 7 Home Basic
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Enterprise
  • Windows Server 2008 R2 Service Pack 1 sobre las siguientes plataformas
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2 sobre las siguientes plataformas
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 2 sobre las siguientes plataformas
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Service Pack 1 para Windows Vista sobre las siguientes plataformas
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Hyper V
  • Windows Server 2012 Standard
  • Windows 8
  • Windows 8 Professional
  • Windows 8 Enterprise
Palabras clave: 
kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com