Blocco del driver SBP-2 e dei controller Thunderbolt per ridurre le minacce 1394 DMA e DMA Thunderbolt per BitLocker

Traduzione articoli Traduzione articoli
Identificativo articolo: 2516445 - Visualizza i prodotti a cui si riferisce l?articolo.
Il supporto per Windows Vista Service Pack 1 (SP1) è terminato il 12 luglio 2011. Per continuare a ricevere gli aggiornamenti della sicurezza per Windows, utilizzare Windows Vista con Service Pack 2 (SP2). Per ulteriori informazioni, fare riferimento alla pagina Web Microsoft riportata di seguito: Per alcune versioni di Windows il servizio di supporto non è più disponibile.
Espandi tutto | Chiudi tutto

Sintomi

Un computer protetto da BitLocker può essere vulnerabile ad attacchi al DMA quando lo stato di alimentazione risulta attivo o in standby. Ciò si verifica quando il desktop è bloccato.

BitLocker, unicamente con l'autenticazione TPM, consente a un computer di passare allo stato di alimentazione attivo senza alcuna autenticazione pre-boot. Di conseguenza, un utente malintenzionato può essere in grado di eseguire attacchi al DMA.

Con queste configurazioni, un utente malintenzionato può essere in grado di trovare le chiavi di crittografia di BitLocker nella memoria di sistema, simulando l'ID hardware SBP-2 e utilizzando un dispositivo di attacco collegato a una porta 1394. In alternativa, anche una porta Thunderbolt attiva consente di accedere alla memoria di sistema per eseguire un attacco.

Le informazioni riportate in questo articolo sono valide per i seguenti sistemi:
  • Sistemi lasciati in stato di alimentazione attiva
  • Sistemi lasciati in stato di alimentazione di standby
  • Sistemi che utilizzano unicamente la protezione BitLocker TPM

Cause

DMA fisico 1394

I controller 1394 (compatibili con OHCI) standard del settore forniscono la funzionalità che permette di accedere alla memoria di sistema. Questa funzionalità viene fornita per migliorare le prestazioni. Abilita il trasferimento diretto di grandi quantità di dati tra un dispositivo 1394 e la memoria di sistema, evitando la CPU e il software. Per impostazione predefinita, il DMA fisico 1394 è disattivato in tutte le versioni di Windows. Per attivare il DMA fisico 1394 sono disponibili le seguenti opzioni:
  • Un amministratore consente il debug del kernel 1394.
  • Un altro utente con accesso fisico a un computer collega un dispositivo di archiviazione 1394 conforme con le specifiche SBP-2.
Minacce al DMA 1394 per BitLocker

I controlli di integrità di sistema di BitLocker proteggono contro modifiche non autorizzate dello stato di debug del kernel. È tuttavia possibile che un utente malintenzionato colleghi un dispositivo di attacco a una porta 1394 e poi ignori l'ID hardware SBP-2. Se Windows rileva l'ID hardware SBP-2, carica l'unità SBP-2 (sbp2port.sys) e indica all'unità di consentire l'esecuzione del DMA per il dispositivo SBP-2. In questo modo un utente malintenzionato accede alla memoria di sistema e trova le chiavi di crittografia di BitLocker. 

DMA fisico ThunderBolt

Thunderbolt è un nuovo bus esterno che dispone di funzionalità che consentono accesso diretto alla memoria di sistema. Questa funzionalità viene fornita per migliorare le prestazioni. Abilita il trasferimento diretto di grandi quantità di dati tra un dispositivo Thunderbolt e la memoria di sistema, evitando la CPU e il software. Thunderbolt non è supportato in nessuna versione di Windows ma i produttori possono comunque decidere di includere tale tipo di porta.

Minacce ThunderBolt per BitLocker

Un utente malintenzionato può connettere un dispositivo per scopi speciali a una porta Thunderbolt e ottenere pieno accesso diretto alla memoria via bus PCI Express. In questo modo l'utente malintenzionato può accedere alla memoria del sistema e cercare le chiavi di crittografia BitLocker.

Risoluzione

Alcune configurazioni di BitLocker possono ridurre il rischio di questo tipo di attacchi. Le protezioni TPM+PIN, TPM+USB e TPM+PIN+USB riducono l'effetto degli attacchi al DMA mentre i computer non utilizzano la modalità di sospensione (sospensione in memoria RAM). Se l'organizzazione consente unicamente protezioni TPM o supporta computer in modalità di sospensione, si consiglia di bloccare l'unità SBP-2 in Windows e tutti i controller Thunderbolt al fine di ridurre il rischio di attacchi al DMA.

Per ulteriori informazioni su tale operazione, fare riferimento alla pagina Web Microsoft riportata di seguito:

Attenuazione SBP-2

Sul sito Web menzionato in precedenza, fare riferimento alla sezione "Prevent installation of drivers matching these device setup classes" in "Group Policy Settings for Device Installation".

La seguente è la classe Plug and Play device setup GUID per un'unità SBP-2:
d48179be-ec20-11d1-b6b8-00c04fa372a7

Attenuazione di Thunderbolt

Importante La seguente attenuazione di Thunderbolt viene applicata esclusivamente a Windows 8 e Windows Server 2012. Non viene applicata a tutti gli altri sistemi operativi menzionati nella sezione "Le informazioni in questo articolo si applicano a".

Sul sito Web menzionato in precedenza, fare riferimento alla sezione "Prevent installation of devices that match these device IDs" in "Group Policy Settings for Device Installation".

Di seguito è riportato l'ID compatibile Plug and Play per un controller di Thunderbolt:
PCI\CC_0C0A


Note
  • L'aspetto negativo di questa attenuazione è che non è più possibile connettere i dispositivi di archiviazione esterni utilizzando la porta 1394, pertanto tutti i dispositivi PCI Express connessi alla porta non funzioneranno. Siccome eSATA e USB hanno una presenza prevalente e la porta DisplayPort spesso lavora anche quando Thunderbolt è disattivato, gli effetti negativi causati da tali attenuazioni sono limitati. 
  • Se l'hardware si discosta dall'attuale Windows Engineering Guidance, potrebbe attivare il DMA su tali porte dopo l'avvio del computer e prima che Windows prenda i controllo dell'hardware. Il sistema verrà aperto e compromesso, tale condizione non viene attenuata da questa soluzione alternativa.

Informazioni

Per ulteriori informazioni sulle minacce al DMA per BitLocker, visitare il seguente blog sulla sicurezza Microsoft:
Attestazioni su BitLocker di Windows
Per ulteriori informazioni sulle attenuazioni degli attacchi contro BitLocker, visitare il seguente blog del Microsoft Integrity Team:
Protezione di BitLocker da attacchi durante l'avvio a freddo

Proprietà

Identificativo articolo: 2516445 - Ultima modifica: giovedì 9 agosto 2012 - Revisione: 3.0
Le informazioni in questo articolo si applicano a:
  • Windows 7 Service Pack 1 alle seguenti piattaforme
    • Windows 7 Home Basic
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Enterprise
  • Windows Server 2008 R2 Service Pack 1 alle seguenti piattaforme
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2 alle seguenti piattaforme
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 2 alle seguenti piattaforme
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Service Pack 1 alle seguenti piattaforme
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Hyper V
  • Windows Server 2012 Standard
  • Windows 8
  • Windows 8 Professional
  • Windows 8 Enterprise
Chiavi: 
kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com