BitLocker에 대한 1394 DMA 및 Thunderbolt DMA 위협을 감소시키기 위해 SBP-2 드라이버와 Thunderbolt 컨트롤러 차단

기술 자료 번역 기술 자료 번역
기술 자료: 2516445 - 이 문서가 적용되는 제품 보기.
Windows Vista 서비스 팩 1(SP1)에 대한 지원은 2011년 7월 12일 자로 종료되었습니다. Windows용 보안 업데이트를 계속 받으려면 Windows Vista 서비스 팩 2(SP2)가 실행 중이어야 합니다. 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오. 일부 Windows 버전에 대한 지원이 종료될 예정.
모두 확대 | 모두 축소

현상

BitLocker 보호 컴퓨터는 전원이 켜져 있거나 대기 전원 상태일 때 DMA(직접 메모리 액세스) 공격에 취약할 수 있습니다. 데스크톱이 잠겨 있을 때도 마찬가지입니다.

TPM 전용 인증이 있는 BitLocker는 컴퓨터를 부팅 전 인증 과정 없이 전원이 켜진 상태로 전환합니다. 따라서 공격자는 DMA 공격을 수행할 수 있게 됩니다.

이러한 구성에서 공격자는 1394 포트에 꽂은 공격 장치를 사용하여 SBP-2 하드웨어 ID를 스푸핑하는 방식으로 시스템 메모리의 BitLocker 암호화 키를 검색할 수 있게 됩니다. 공격은 활성 Thunderbolt 포트를 통해 시스템 메모리에 액세스하는 방식으로도 수행될 수 있습니다.

이 문서는 다음 시스템에 적용됩니다.
  • 켜진 채 방치된 시스템
  • 대기 전원 상태로 방치된 시스템
  • TPM 전용 BitLocker 보호기를 사용하는 시스템

원인

1394 물리적 DMA

업계 표준의 1394 컨트롤러(OHCI 규격)는 시스템 메모리 액세스를 허용하는 기능을 제공합니다. 이 기능은 성능 개선 차원에서 제공됩니다. 즉, 많은 양의 데이터가 CPU 및 소프트웨어를 우회하여 1394 장치와 시스템 메모리 사이에서 직접 전송될 수 있도록 합니다. 기본적으로 1394 물리적 DMA는 모든 버전의 Windows에서 사용되지 않도록 설정됩니다. 다음옵션을 사용해서 1394 물리적 DMA를 사용하도록 설정할 수 있습니다.
  • 관리자가 1394 커널 디버깅을 사용하도록 설정합니다.
  • 컴퓨터에 실제 액세스 권한이 있는 사용자가 SBP-2 사양에 맞는 1394 저장소 장치에 연결합니다.
BitLocker에 대한 1394 DMA 위협

BitLocker 시스템 무결성 검사는 허가되지 않은 커널 디버깅 상태 변경이 이루어지지 않도록 보호해줍니다. 그러나 공격자는 공격 장치를 1394 포트에 연결한 후 SBP-2 하드웨어 ID를 스푸핑할 수 있습니다. Windows는 SBP-2 하드웨어 ID를 감지하면 SBP-2 드라이버(sbp2port.sys)를 로드한 후 SBP-2 장치가 DMA를 수행하도록 드라이버에 지시합니다. 이를 통해 공격자는 시스템 메모리에 액세스하고 BitLocker 암호화 키를 검색할 수 있게 됩니다.?

Thunderbolt 물리적 DMA

Thunderbolt는 시스템 메모리에 직접 액세스할 수 있는 기능이 있는 새로운 외부 버스입니다. 이 기능은 성능 개선 차원에서 제공됩니다. 많은 양의 데이터를 Thunderbolt 장치와 시스템 메모리 간에 직접 전송하기 때문에 CPU와 소프트웨어를 거치지 않습니다. 어떤 Windows 버전도 Thunderbolt를 지원하지 않지만, 제조업체는 이러한 포트 유형이 포함된 제품을 제작할 수 있습니다.

BitLocker에 대한 Thunderbolt 위협

공격자는 특수 제작된 장치를 Thunderbolt 포트에 연결하여 PCI Express bus를 통해 메모리에 대한 완전한 직접 액세스가 가능합니다. 이렇게 되면 공격자는 시스템 메모리에 대한 액세스 권한을 가지게 되어 BitLocker 암호화 키를 검색할 수 있습니다.

해결 방법

BitLocker의 일부 구성은 이러한 공격 위험을 감소시킬 수 있습니다. TPM + PIN, TPM + USB, TPM + PIN + USB 보호기는 절전(대기) 모드인 컴퓨터에 대한 DMA 공격 효과를 감소시킵니다. 조직에서 TPM 전용 보호기를 허용하거나 컴퓨터 절전 모드를 지원할 경우 DMA 공격의 위험을 감소시키기 위해 Windows SBP-2 드라이버 및 모든 Thunderbolt 컨트롤러를 차단하는 것이 좋습니다.

수행 방법에 대한 자세한 설명은 다음 Microsoft 웹 사이트(
Step-By-Step Guide to Controlling Device Installation Using Group Policy)를 참조하시기 바랍니다.


SBP-2 완화

이전에 언급된 웹 사이트"장치 설치에 대한 그룹 정책 설정" 아래에서 "다음 장치 설치 클래스와 일치하는 드라이버 설치 금지" 절을 참조하십시오.

다음은 SBP-2 드라이브에 대한 플러그 앤 플레이 장치 설치 클래스 GUID입니다.
d48179be-ec20-11d1-b6b8-00c04fa372a7

Thunderbolt 완화

중요 다음 Thunderbolt 완화는 Windows 8과 Windows Server 2012에만 적용됩니다. "적용 대상" 절에서 언급된 다른 운영 시스템에는 적용되지 않습니다.

이전에 언급된 웹 사이트"장치 설치에 대한 그룹 정책 설정" 아래에서 "다음 장치 ID와 일치하는 장치 설치 금지" 절을 참조하십시오.

다음은 Thunderbolt 컨트롤러에 대한 플러그 앤 플레이 호환 ID입니다.
PCI\CC_0C0A


참고
  • 이 완화의 단점은 외부 저장 장치를 1394 포트를 사용해 연결할 수 없다는 점과 Thunderbolt 포트에 연결된 모든 PCI Express 장치가 작동하지 않는다는 점입니다. USB 및 eSATA가 매우 보편화되어 있고 Thunderbolt를 사용하지 않도록 설정해도 DisplayPort가 작동할 수 있기 때문에 이 완화의 부작용은 제한적입니다.
  • 사용 중인 하드웨어가 현재 Windows Engineering Guidance와 다를 경우, 컴퓨터 시작 후 Windows가 하드웨어에 대한 제어권을 가지기 전에 이러한 포트에 DMA가 활성화될 수 있습니다. 이럴 경우 시스템이 위태롭게 되며, 이 해결 방법으로는 완화할 수 없습니다.

추가 정보

BitLocker에 대한 DMA 위협에 관련된 자세한 내용은 다음 Microsoft 보안 블로그를 참조하십시오.
Windows BitLocker 클레임
BitLocker에 대한 콜드 공격 완화와 관련된 자세한 정보는 다음 Microsoft 무결성 팀 블로그를 참조하십시오.
콜드 공격으로부터 BitLocker 보호
참고 이것은 Microsoft 기술 지원 서비스 내에서 직접 작성한 “빠른 게시” 문서입니다. 여기에 포함된 정보는 발생한 문제에 대해 있는 그대로 제공됩니다. 이 문서는 즉시 참조할 수 있도록 빠르게 작성되어서 표기상의 오류가 포함되어 있을 수 있고 언제든지 예고 없이 수정될 수 있습니다. 기타 고려 사항은사용 약관을 참조하십시오. 정보

속성

기술 자료: 2516445 - 마지막 검토: 2012년 8월 9일 목요일 - 수정: 3.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Windows 7 Service Pack 1?을(를) 다음과 함께 사용했을 때
    • Windows 7 Home Basic
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Enterprise
  • Windows Server 2008 R2 Service Pack 1?을(를) 다음과 함께 사용했을 때
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2?을(를) 다음과 함께 사용했을 때
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 2?을(를) 다음과 함께 사용했을 때
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Service Pack 1?을(를) 다음과 함께 사용했을 때
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Hyper V
  • Windows Server 2012 Standard
  • Windows 8
  • Windows 8 Professional
  • Windows 8 Enterprise
키워드:?
kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com