Blocage du pilote SBP-2 et des contrôleurs Thunderbolt afin de réduire les menaces d'accès direct à la mémoire (DMA) Thunderbolt et d'accès direct à la mémoire (DMA) 1394 à l'encontre de BitLocker

Traductions disponibles Traductions disponibles
Numéro d'article: 2516445 - Voir les produits auxquels s'applique cet article
La prise en charge de Windows Vista Service Pack 1 (SP1) a pris fin le 12 juillet 2011. Pour continuer à recevoir des mises à jour de sécurité pour Windows, assurez-vous que vous exécutez Windows Vista avec Service Pack 2 (SP2). Pour plus d'informations, reportez-vous au site Web de Microsoft à l'adresse suivante : Certaines versions de Windows ne seront bientôt plus prises en charge.
Agrandir tout | Réduire tout

Symptômes

Un ordinateur protégé par BitLocker peut être vulnérable aux attaques d'accès direct à la mémoire (DMA) lorsque l'ordinateur est mis sous tension ou lorsqu'il est en veille, notamment lorsque le bureau est verrouillé.

BitLocker avec authentification TPM uniquement permet de mettre un ordinateur sous tension sans aucune authentification de prédémarrage. Par conséquent, un utilisateur malveillant peut effectuer des attaques DMA.

Dans ces configurations, un utilisateur malveillant peut rechercher les clés de chiffrement BitLocker dans la mémoire système en usurpant l'ID du matériel SBP-2. Il utilise pour ce faire un dispositif d'attaque connecté à un port 1394. Un port Thunderbolt actif permet également d'accéder à la mémoire système pour exécuter une attaque.

Cet article s'applique aux systèmes suivants :
  • Systèmes laissés sous tension
  • Systèmes laissés en veille
  • Systèmes utilisant uniquement le protecteur BitLocker TPM

Cause

Accès direct à la mémoire physique 1394

Les contrôleurs 1394 standards de l'industrie (compatibles OHCI) fournissent une fonctionnalité qui permet l'accès à la mémoire système. Cette fonctionnalité est fournie comme une amélioration de la performance. Elle permet de transférer directement de grands volumes de données d'un périphérique 1394 à la mémoire système, en contournant le processeur et le logiciel. Par défaut, le DMA physique 1394 est désactivé dans toutes les versions de Windows. Les options suivantes sont disponibles pour activer l'accès direct à la mémoire physique 1394 :
  • Un administrateur active le débogage du noyau 1394.
  • Une personne ayant un accès physique à l'ordinateur connecte un périphérique de stockage 1394 conforme à la spécification SBP-2
Menaces d'accès direct à la mémoire 1394 à l'encontre de BitLocker

Les contrôles de l'intégrité du système BitLocker protègent des modifications non autorisées de statut de débogage de noyau. Toutefois, un utilisateur malveillant pourrait connecter un dispositif d'attaque à un port 1394, puis usurper l'ID du matériel SBP-2. Lorsque Windows détecte l'ID du matériel SBP-2, il charge le pilote SBP-2 (sbp2port.sys) et demande au pilote d'autoriser le périphérique SBP-2 à accéder directement à la mémoire. Cela permet d'accéder à la mémoire système et de rechercher les clés de chiffrement BitLocker.

Accès direct à la mémoire physique Thunderbolt

Thunderbolt est un nouveau bus externe qui dispose de fonctionnalités permettant un accès direct à la mémoire système. Cette fonctionnalité est fournie comme une amélioration des performances. Elle permet de transférer directement de grands volumes de données d'un périphérique Thunderbolt à la mémoire système, en contournant le processeur et le logiciel. Thunderbolt n'est pris en charge dans aucune version de Windows, mais les fabricants peuvent encore décider d'inclure ce type de port.

Menaces Thunderbolt à l'encontre de BitLocker

Un utilisateur malveillant peut connecter un périphérique à objectif particulier à un port Thunderbolt et disposer d'un accès total direct à la mémoire via le bus PCI Express. Cela pourrait permettre à un utilisateur malveillant d'accéder à la mémoire système et de rechercher des clés de chiffrement BitLocker.

Résolution

Certaines configurations de BitLocker peuvent réduire le risque de ce genre d'attaque. Les protecteurs TPM+PIN, TPM+USB et TPM+PIN+USB réduisent l'effet des attaques DMA lorsque les ordinateurs n'utilisent pas le mode « veille » (suspension RAM). Si votre organisation autorise les protecteurs TPM uniquement ou prend en charge les ordinateurs en mode « veille », nous vous recommandons de bloquer le pilote Windows SBP-2 et tous les contrôles Thunderbolt afin de réduire le risque d'attaques DMA.

Pour plus d'informations sur la procédure à suivre, accédez au site Web de Microsoft suivant :

Mesure d'atténuation SBP-2

Sur le site Web précédemment mentionné, reportez-vous à la section relative à la manière d'empêcher l'installation des pilotes correspondant à ces classes d'installation de périphériques sous « Group Policy Settings for Device Installation » (Paramètres de stratégie de groupe pour l'installation de périphériques).

Voici le GUID de la classe d'installation de périphérique Plug-and-Play pour un lecteur SBP-2 :
d48179be-ec20-11d1-b6b8-00c04fa372a7

Mesure d'atténuation Thunderbolt

Important La mesure d'atténuation Thunderbolt suivante ne s'applique qu'à Windows 8 et à Windows Server 2012. Elle ne s'applique à aucun autre système d'exploitation mentionné dans la section des produits concernés.

Sur le site Web précédemment mentionné, reportez-vous à la section relative à la manière d'empêcher l'installation des périphériques correspondant à ces ID de périphérique sous « Group Policy Settings for Device Installation » (Paramètres de stratégie de groupe pour l'installation de périphériques).

Voici l'ID compatible Plug-and-Play pour un contrôleur Thunderbolt :
PCI\CC_0C0A


Remarques
  • L'inconvénient de cette mesure d'atténuation est que les périphériques de stockage externes ne peuvent plus se connecter à l'aide du port 1394 et que tous les périphériques PCI Express connectés au port Thunderbolt ne fonctionnent plus. Étant donné que les ports USB et eSATA sont très répandus et que DisplayPort fonctionne souvent, même si Thunderbolt est désactivé, les effets indésirables de ces mesures d'atténuation sont limités.
  • Si votre matériel diffère des directives actuelles d'ingénierie de Windows, il peut activer l'accès mémoire direct sur ces ports après le redémarrage de votre ordinateur et avant que Windows ne prenne le contrôle du matériel. Cela compromet votre système et cette solution de contournement n'empêche pas cette condition.

Plus d'informations

Pour plus d'informations sur les menaces DMA à l'encontre de BitLocker, reportez-vous au blog suivant de Microsoft sur la sécurité :
Windows BitLocker Claims (Revendications BitLocker Windows)
Pour plus d'informations sur les mesures d'atténuation des attaques à froid contre BitLocker, reportez-vous au blog suivant de l'équipe de l'intégrité Microsoft :
Protecting BitLocker from Cold Attacks (Protection de BitLocker contre les attaques à froid)

Propriétés

Numéro d'article: 2516445 - Dernière mise à jour: jeudi 9 août 2012 - Version: 8.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows 7 Service Pack 1 sur le système suivant
    • Windows 7 Édition Familiale Basique
    • Windows 7 Édition Familiale Premium
    • Windows 7 Professionnel
    • Windows 7 Édition Integrale
    • Windows 7 Entreprise
  • Windows 7 Édition Familiale Basique
  • Windows 7 Édition Familiale Premium
  • Windows 7 Professionnel
  • Windows 7 Édition Integrale
  • Windows 7 Entreprise
  • Windows Server 2008 R2 Service Pack 1 sur le système suivant
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2 sur le système suivant
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 2 sur le système suivant
    • Windows Vista Professionnel
    • Windows Vista Entreprise
    • Windows Vista Édition Familiale Basique
    • Windows Vista Édition Familiale Premium
    • Windows Vista Starter
    • Windows Vista Édition Intégrale
    • Windows Vista Entreprise 64 bits
    • Windows Vista Édition Familiale Basique 64 bits
    • Windows Vista Édition Familiale Premium 64 bits
    • Windows Vista Édition Intégrale 64 bits
    • Windows Vista Professionnel 64 bits
  • Windows Vista Service Pack 1 sur le système suivant
    • Windows Vista Professionnel
    • Windows Vista Entreprise
    • Windows Vista Édition Familiale Basique
    • Windows Vista Édition Familiale Premium
    • Windows Vista Starter
    • Windows Vista Édition Intégrale
    • Windows Vista Entreprise 64 bits
    • Windows Vista Édition Familiale Basique 64 bits
    • Windows Vista Édition Familiale Premium 64 bits
    • Windows Vista Édition Intégrale 64 bits
    • Windows Vista Professionnel 64 bits
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Hyper V
  • Windows Server 2012 Standard
  • Windows 8
  • Windows 8 Professional
  • Windows 8 Enterprise
Mots-clés : 
kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com