Bloquear o controlador SBP-2 e os controladores Thunderbolt para reduzir as ameaças DMA 1394 e Thunderbolt DMA para BitLocker

Traduções de Artigos Traduções de Artigos
Artigo: 2516445 - Ver produtos para os quais este artigo se aplica.
O Windows Vista Service Pack 1 (SP1) deixou de ter suporte a 12 de Julho de 2011. Para continuar a receber actualizações de segurança para o Windows, certifique-se de que tem instalado o Windows Vista com Service Pack 2 (SP2). Para mais informações, consulte o seguinte Web site da Microsoft: Algumas versões do Windows vão deixar de ter suporte.
Expandir tudo | Reduzir tudo

Sintomas

Um computador protegido por BitLocker pode estar vulnerável a ataques de Acesso Directo à Memória (DMA) quando o computador estiver ligado ou em Modo de Espera. Inclusivamente quando o ambiente de trabalho está bloqueado.

O BitLocker com autenticação apenas TPM permite que um computador entre no estado ligado sem qualquer autenticação pré-arranque. Por conseguinte, um atacante pode ser capaz de executar ataques de DMA.

Com estas configurações, é possível que um atacante consiga procurar as chaves de encriptação BitLocker na memória do sistema, ao fazer spoofing ao ID de hardware SBP-2, utilizando um dispositivo atacante ligado a uma porta 1394. Em alternativa, uma porta activa Thunderbolt também proporciona o acesso à memória do sistema para efectuar um ataque.

Este artigo aplica-se aos seguintes sistemas:
  • Sistemas que são deixados ligados
  • Sistemas que são deixados no Modo de Espera
  • Sistemas que utilizam o protector do BitLocker apenas TPM

Causa

DMA físico 1394

Os controladores 1394 padrão (compatível com OHCI ) fornecem funcionalidade que permite acesso à memória do sistema. Esta funcionalidade é fornecida como uma melhoria de desempenho. Permite que grandes volumes de dados sejam transferidos directamente entre um dispositivo 1394 e a memória do sistema, ignorando a CPU e o software. Por predefinição, o DMA físico 1394 está desactivado em todas as versões do Windows. As opções seguintes estão disponíveis para activar o DMA físico 1394:
  • Um administrador activa a depuração do Kernel 1394.
  • Alguém que tenha acesso físico ao computador liga um dispositivo de armazenamento 1394 compatível com a especificação SBP-2.
Ameaças DMA 1394 para BitLocker

As verificações de integridade do sistema BitLocker protegem contra alterações não autorizadas de estado de depuração do Kernel. No entanto, um atacante poderia ligar um dispositivo atacante a uma porta 1394 e, em seguida, falsificar uma ID de hardware SBP-2. Quando o Windows detecta uma ID de hardware SBP-2, carrega o controlador SBP-2 (sbp2port.sys) e, em seguida, dá instruções ao controlador de forma a permitir que o dispositivo SBP-2 execute o DMA. Isto permite que um invasor obtenha acesso à memória do sistema e procure as chaves de encriptação do BitLocker. 

DMA físico Thunderbolt

Thunderbolt é um novo barramento externo com uma funcionalidade que permite o acesso directo à memória do sistema. Esta funcionalidade é fornecida como uma melhoria de desempenho. Permite que grandes volumes de dados sejam transferidos directamente entre um dispositivo Thunderbolt e a memória do sistema, ignorando assim a CPU e o software. O Thunderbolt não é suportado em nenhuma versão do Windows, mas os fabricantes poderão ainda decidir incluir este tipo de porta.

Ameaças Thunderbolt para BitLocker

Um invasor poderia ligar um dispositivo especial a uma porta Thunderbolt e ter acesso directo integral à memória através do barramento PCI Express. Isto poderia permitir que um invasor obtivesse acesso à memória do sistema e procurasse as chaves de encriptação do BitLocker.

Resolução

Algumas configurações do BitLocker podem reduzir o risco deste tipo de ataque. Os protectores TPM+PIN, TPM+USB e TPM+PIN+USB reduzem o efeito dos ataques DMA, quando os computadores não utilizam o modo de suspensão (suspender para RAM). Se a sua organização permitir protectores apenas TPM ou suportar computadores em modo de suspensão, recomendamos que bloqueie o controlador Windows SBP-2 e todos os controladores Thunderbolt para reduzir o risco de ataques DMA.

Para obter mais informações sobre como fazê-lo, consulte o seguinte Web site da Microsoft:

Mitigação SBP-2

No Web site mencionado anteriormente, consulte a secção "Impedir a instalação de controladores que correspondam a estas classes de configuração de dispositivos", em "Definições de Política de Grupo para Instalação de Dispositivos".

Segue-se a classe de configuração de dispositivos Plug and Play GUID para uma unidade SBP-2:
d48179be-ec20-11d1-b6b8-00c04fa372a7

Mitigação Thunderbolt

Importante A seguinte mitigação Thunderbolt aplica-se apenas ao Windows 8 e ao Windows Server 2012. Não se aplica a nenhum dos outros sistemas operativos que estejam mencionados na secção "Aplica-se a".

No Web site mencionado anteriormente, consulte a secção "Impedir a instalação de dispositivos que correspondam às IDs destes dispositivos" em "Definições de Política de Grupo para Instalação de Dispositivos".

Segue-se a ID compatível com Plug and Play para um controlador Thunderbolt:
PCI\CC_0C0A


Notas
  • A desvantagem desta mitigação é que os dispositivos de armazenamento externos deixam de poder ligar-se através da porta 1394 e todos os dispositivos PCI Express que estejam ligados à porta Thunderbolt não funcionarão. Dado que o USB e o eSATA são tão prevalecentes e porque o DisplayPort funciona frequentemente mesmo quando o Thunderbolt está desactivado, o efeito adverso provocado por estas mitigações deverá ser limitado. 
  • Se o seu hardware se desviar da Windows Engineering Guidance actual, poderá permitir o DMA nessas portas após iniciar o computador e antes de o Windows assumir o controlo do hardware. Isto pode comprometer o seu sistema e a situação não é mitigada por esta medida para contornar o problema.

Mais Informação

Para mais informações sobre ameaças DMA para BitLocker, consulte o seguinte blogue do Microsoft Security:
Pedidos Windows BitLocker
Para obter mais informações relativas às mitigações para ataques a frio contra o BitLocker, consulte o seguinte blogue da Equipa Microsoft Integrity:
Proteger o BitLocker contra ataques a frio
Nota Este é um artigo de ?PUBLICAÇÃO RÁPIDA? criado directamente a partir da organização de suporte da Microsoft. As informações contidas neste artigo são fornecidas ?tal como estão? em resposta a problemas recentes. Devido à urgência em disponibilizar este artigo, os materiais poderão incluir erros tipográficos e ser revistos em qualquer altura sem aviso prévio. Consulte os Termos de Utilização para outras considerações.

Propriedades

Artigo: 2516445 - Última revisão: 9 de agosto de 2012 - Revisão: 3.0
A informação contida neste artigo aplica-se a:
  • Windows 7 Service Pack 1 nas seguintes plataformas
    • Windows 7 Home Basic
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Enterprise
  • Windows Server 2008 R2 Service Pack 1 nas seguintes plataformas
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2 nas seguintes plataformas
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 2 nas seguintes plataformas
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Service Pack 1 nas seguintes plataformas
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Hyper V
  • Windows Server 2012 Standard
  • Windows 8
  • Windows 8 Professional
  • Windows 8 Enterprise
Palavras-chave: 
kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com