Az SBP-2 illesztőprogram és a Thunderbolt vezérlők blokkolása a BitLocker szolgáltatás 1394-es és Thunderbolt közvetlen memória-hozzáférési rendszeren (DMA) keresztüli fenyegetéseinek...

A cikk fordítása A cikk fordítása
Cikk azonosítója: 2516445 - A cikkben érintett termékek listájának megtekintése.
A Windows Vista Service Pack 1 (SP1) rendszer támogatása 2011. július 12-én véget ért. Ha továbbra is hozzá szeretne jutni a Windows biztonsági frissítéseihez, futtassa a Service Pack 2 (SP2) szervizcsomaggal bővített Windows Vista rendszert. További információt a Microsoft következő webhelyén talál: Megszűnik egyes Windows-verziók támogatása.
Az összes kibontása | Az összes összecsukása

A jelenség

A BitLocker technológiával védett számítógép sebezhetővé válhat a közvetlen memória-hozzáférési (DMA) rendszeren keresztüli támadásokkal szemben, amikor a számítógép bekapcsolt vagy készenléti állapotban van. Ez arra az esetre is vonatkozik, ha az asztal zárolva van.

A csak TPM-hitelesítést igénylő BitLocker lehetővé teszi, hogy a számítógép bármilyen indítás előtti hitelesítés nélkül bekapcsoljon. A támadók így képesek lehetnek DMA-támadások kivitelezésére.

Ezekben az esetekben a támadó egy 1394-es szabványú portra csatlakoztatott támadóeszközzel, és az SBP-2 hardverazonosító meghamisításával megpróbálhatja megkeresni a BitLocker szolgáltatásnak a rendszer memóriájában tárolt titkosítási kulcsait. Egy aktív Thunderbolt-porton keresztül szintén elérhető a rendszermemória, és támadás hajtható végre.

A cikk az alábbi rendszerekre vonatkozik:
  • Bekapcsolt állapotban hagyott rendszerek
  • Készenléti állapotban hagyott rendszerek
  • A csak TPM-hitelesítést igénylő BitLocker védelemmel ellátott rendszerek

Oka

1394-es eszközök fizikai közvetlen memória-hozzáférése (DMA)

A szabványos 1394-es rendszerű vezérlők (OHCI-kompatibilis vezérlők) engedélyezik a rendszermemória elérését. Ez a funkció a teljesítmény növelésére szolgál, és lehetővé teszi nagy mennyiségű adat közvetlen átvitelét az 1394-es rendszerű eszközök és a rendszermemória között, kihagyva a processzort és a szoftveres átviteli funkciókat. Az 1394-es eszközök esetében a memória közvetlen fizikai elérése alapértelmezés szerint a Windows minden verziójában tiltott. Az 1394-es eszközök fizikai közvetlen memória-hozzáférése a következő módokon engedélyezhető:
  • Egy rendszergazda engedélyezi az 1394-es eszközökhöz kapcsolódó rendszermag-hibakeresést
  • Valaki, aki fizikai hozzáféréssel rendelkezik a számítógéphez, csatlakoztat egy 1394-es tárolóeszközt, amely megfelel az SBP-2 specifikációnak.
Az 1394-es eszközök közvetlen memória-hozzáférésének veszélyei a BitLocker szolgáltatásra

A BitLocker rendszerépségi ellenőrzései védelmet nyújtanak a rendszermag-hibakeresés jogosulatlan állapotváltásai ellen. Egy támadó azonban csatlakoztathat egy támadó eszközt egy 1394-es portra, majd hamisíthat egy SBP-2 hardverazonosítót. Amikor a Windows észleli az SBP-2 hardverazonosítót, betölti az SBP-2 illesztőprogramot (sbp2port.sys), majd utasítja azt, hogy engedélyezze az SBP-2 eszköz számára a közvetlen memória-hozzáférést. Ez lehetővé teszi a támadó számára, hogy hozzáférjen a rendszermemóriához és BitLocker titkosítási kulcsokat keressen. 

Thunderbolt fizikai közvetlen memória-hozzáférés (DMA)

A Thunderbolt egy új külső busz, amelynek egyes funkciói közvetlen hozzáférést tesznek lehetővé a rendszermemóriához. Ez a funkció a teljesítmény növelésére szolgál. Nagy mennyiségű adat közvetlen átvitelét teszi lehetővé a Thunderbolt rendszerű eszközök és a rendszermemória között, a processzor és a szoftveres átviteli funkciók kihagyásával. A Thunderbolt a Windows egyetlen verziójában sem támogatott, de a gyártók ettől függetlenül beépíthetik ezt a porttípust.

A Thunderbolt veszélyei a BitLocker szolgáltatásra

Ha egy támadó csatlakoztat egy speciális célú eszközt a Thunderbolt portra, teljes közvetlen memória-hozzáférést szerezhet a PCI Express buszon keresztül, így hozzáférhet a rendszermemóriához és BitLocker titkosítási kulcsokat kereshet.

A megoldás

A BitLocker bizonyos beállításaival csökkenthető az ilyen támadások kockázata. A TPM+PIN, a TPM+USB illetve a TPM+PIN+USB védelmi modulok csökkenthetik a közvetlen memória-hozzáférésen (DMA) keresztül végrehajtott támadások hatását abban az esetben, ha a számítógép nem lép alvó (hibernált) állapotba. Amennyiben a vállalat engedélyezi a csak TPM hitelesítést igénylő védelmi modulok használatát vagy a számítógépek alvó állapotba helyezését, a közvetlen memória-hozzáférésen (DMA) keresztül végrehajtott támadás kockázatának csökkentése érdekében javasoljuk a Windows SBP-2 meghajtó és az összes Thunderbolt-vezérlő zárolását.

További információt ezzel kapcsolatban a Microsoft következő webhelyén talál: (előfordulhat, hogy a lap angol nyelven jelenik meg)

Az SBP-2 kockázatainak csökkentése

A fent említett webhelyen tekintse meg „Az eszköztelepítési osztályoknak megfelelő illesztőprogramok telepítésének megakadályozása” részt az „Eszköztelepítési csoportházirend-beállítások” fejezetben (előfordulhat, hogy a lap angol nyelven jelenik meg).

A következő érték egy Plug and Play eszköz telepítési osztályának GUID azonosítója egy SBP-2 illesztőprogramhoz:
d48179be-ec20-11d1-b6b8-00c04fa372a7

A Thunderbolt kockázatainak csökkentése

Fontos: A Thunderbolt veszélyeinek következő csökkentése csak a Windows 8 és a Windows Server 2012 rendszerre vonatkozik, az érintett rendszerek listájában felsorolt többi operációs rendszerre nem.

A korábban már említett webhelyen tekintse meg „Az eszközazonosítóknak megfelelő eszközök telepítésének megakadályozása” részt az „Eszköztelepítési csoportházirend-beállítások” fejezetben (előfordulhat, hogy a lap angol nyelven jelenik jelenik meg).

A következő érték egy Thunderbolt-vezérlő Plug and Play-kompatibilis azonosítója:
PCI\CC_0C0A


Megjegyzések:
  • A kockázatcsökkentés hátránya, hogy a továbbiakban nem lehet külső tárolóeszközöket csatlakoztatni az 1394-es porton keresztül, illetve a Thunderbolt-portra csatlakoztatott PCI Express eszközök nem fognak működni. Mivel az USB és az eSATA igen elterjedt, a DisplayPort pedig gyakran a Thunderbolt letiltása esetén is működik, a kockázatcsökkentés kedvezőtlen hatásai mérsékeltek. 
  • Ha az adott hardver eltér az aktuális Windows Engineering Guidance útmutatóban foglaltaktól, előfordulhat, hogy engedélyezi a közvetlen memória-hozzáférést ezeken a portokon a számítógép indítása után, mielőtt még a Windows átvenné a hardver irányítását. Ez sebezhetővé teszi a rendszert a fenyegetésekkel szemben, és a veszélyt ez a kerülő megoldás sem tudja csökkenteni.

További információ

A BitLocker szolgáltatást érintő, közvetlen memória-hozzáférési rendszeren (DMA) keresztüli fenyegetésekről a következő Microsoft Security blogon talál további információt:
Windows BitLocker Claims
A BitLocker ellen irányuló, kikapcsolt állapotban kezdeményezett támadások kockázatainak csökkentéséről a Microsoft Integrity Team blogban talál további információt:
A BitLocker védelme kikapcsolt állapotban kezdeményezhető támadások ellen
Megjegyzés: Ez egy „GYORS KÖZZÉTÉTELŰ” cikk, amelyet maga Microsoft támogatási csoportja készített. A benne fogalt információkat a jelentkező problémákra válaszul, az adott állapotukban biztosítjuk. Az anyagok a közzétételük gyorsaságából következően tartalmazhatnak sajtóhibákat, illetve külön értesítés nélkül bármikor átdolgozáson eshetnek át. További tudnivalók olvashatók a felhasználási feltételek között.

Tulajdonságok

Cikk azonosítója: 2516445 - Utolsó ellenőrzés: 2012. augusztus 9. - Verziószám: 3.0
A cikkben található információ a következő(k)re vonatkozik:
  • Windows 7 Service Pack 1 a következő platformokon
    • Windows 7 Home Basic
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Enterprise
  • Windows Server 2008 R2 Service Pack 1 a következő platformokon
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2 a következő platformokon
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Service Pack 2 szervizcsomag a Windows Vista rendszerhez a következő platformokon
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Service Pack 1 szervizcsomag a Windows Vista rendszerhez a következő platformokon
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Hyper V
  • Windows Server 2012 Standard
  • Windows 8
  • Windows 8 Professional
  • Windows 8 Enterprise
Kulcsszavak: 
kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com