Bloqueando o driver SBP-2 e os controladores Thunderbolt para reduzir ameaças DMA 1394 e DMA Thunderbolt para BitLocker

Traduções deste artigo Traduções deste artigo
ID do artigo: 2516445 - Exibir os produtos aos quais esse artigo se aplica.
O suporte para Windows Vista Service Pack 1 (SP1) terminou em 12 de julho de 2011. Para continuar recebendo atualizações de segurança do Windows, certifique-se de estar executando o Windows Vista com Service Pack 2 (SP2). Para obter mais informações, vá para a seguinte página da Web da Microsoft: O suporte está terminando para algumas versões do Windows.
Expandir tudo | Recolher tudo

Sintomas

Um computador protegido pelo BitLocker pode estar vulnerável a ataques de DMA (Direct Memory Access) quando o computador estiver ligado ou em modo de espera. Isso inclui quando a área de trabalho está bloqueada.

O BitLocker com a autenticação somente para TPM permite que um computador entre no estado ligado sem qualquer autenticação de pré-inicialização. Portanto, o invasor poderá executar ataques de DMA.

Nessas configurações, um invasor poderá pesquisar por chaves de criptografia do BitLocker na memória do sistema ao falsificar a ID de hardware SBP-2 usando um dispositivo de ataque conectado a uma porta 1394. Como alternativa, uma porta Thunderbolt ativa também fornece acesso a memória do sistema para realizar um ataque.

Este artigo aplica-se aos seguintes sistemas:
  • Sistemas que são deixados ligados.
  • Sistemas que são deixados no estado de espera.
  • Sistemas que usam o protetor de BitLocker somente para TPM

Causa

1394 physical DMA

Os controladores de 1394 padrão do setor (compatível com OHCI) fornecem funcionalidades que permitem acesso à memória do sistema. Essa funcionalidade é fornecida como aprimoramento de desempenho. Ela permite transferência de grandes quantidades de dados entre um dispositivo 1394 e a memória do sistema, ignorando CPU e softwares. Por padrão, o 1394 Physical DMA é desabilitado em todas as versões do Windows. As seguintes opções estão disponíveis para ativar o 1394 Physical DMA:
  • Um administrador habilita a depuração de kernel do 1394.
  • Uma pessoa com acesso físico ao computador se conecta a um dispositivo de armazenamento 1394 de acordo com a especificação SBP-2.
Ameaças de DMA 1394 para o BitLocker

As verificações de integridade do sistema do BitLocker protegem contra alterações de status não autorizadas de depuração de kernel. No entanto, é possível que um invasor conecte um dispositivo a uma porta 1394 e falsifique uma ID de hardware SBP-2. Quando o Windows detectar a ID de hardware SBP-2, ele carregará um driver do SBP-2 (sbp2port.sys) e instruirá o driver a permitir que o dispositivo SBP-2 execute o DMA. Isso permite que um invasor obtenha acesso à memória do sistema e procure por chaves de criptografia do BitLocker.

DMA físico Thunderbolt

O ThunderBolt é um novo barramento externo com funcionalidade que permite acesso direto à memória do sistema. Essa funcionalidade é fornecida como aprimoramento de desempenho. Ela permite a transferência de grandes quantidades de dados diretamente entre um dispositivo Thunderbolt e a memória do sistema, com isso ignorando a CPU e os softwares. O Thunderbolt não é compatível com nenhuma versão do Windows, mas os fabricantes podem ainda decidir incluir este tipo de porta.

Ameaças ThunderBolt ao BitLocker

Um invasor pode conectar um dispositivo especial a uma porta Thunderbolt e ter acesso total direto à memória através do barramento PCI Express. Isto pode permitir que um invasor ganhe acesso à memória do sistema e procure pelas chaves de criptografia do BitLocker.

Resolução

Algumas configurações do BitLocker podem reduzir o risco desse tipo de ataque. Os protetores TPM+PIN, TPM+USB e TPM+PIN+USB reduzem o efeito de ataques DMA quando os computadores não utilizarem o modo de espera (suspender para RAM). Se sua organização permitir protetores somente para TPM ou suportar computadores no modo de espera, é recomendável bloquear o driver SBP-2 do Windows e todos os controladores Thunderbolt para reduzir o risco de ataques DMA.

Para obter mais informações sobre como fazer isto, visite o seguinte site da Microsoft:

Atenuação do SBP-2

No site mencionado anteriormente, consulte a seção "Impedir instalação de drivers que correspondam a essas classes de configuração de dispositivo" em "Configurações de política de grupo para instalação de dispositivos".

A seguir está a instalação do GUID de classe de dispositivo Plug and Play para uma unidade SBP-2:
d48179be-ec20-11d1-b6b8-00c04fa372a7

Atenuação do Thunderbolt

Importante A seguinte atenuação do Thunderbolt aplica-se somente ao Windows 8 e ao Windows Server 2012. Não se aplica a nenhum outro sistema operacional mencionados na seção "Aplicável a".

No site mencionado anteriormente, consulte a seção "Impedir instalação de dispositivos que correspondam a esses IDs do dispositivos" em "Configurações de política de grupo para instalação de dispositivos".

Esta é a ID de Plug and Play compatível para um controlador Thunderbolt:
PCI\CC_0C0A


Observações
  • A desvantagem desta atenuação é que os dispositivos de armazenamento externo não podem mais se conectar usando a porta 1394 e todos os dispositivos PCI Express que não estiverem conectados à porta Thunderbolt não funcionarão. Como o USB e eSATA são tão prevalecentes e o DisplayPort geralmente funciona mesmo quando o Thunderbolt está desativado, o efeito adverso causado por essas atenuações deve ser limitado. 
  • Se seu hardware desviar do Windows Engineering Guidance atual, isto pode habilitar o DMA nessas portas após iniciar o computador e antes do Windows tomar o controle do hardware. Isso expõe seu sistema e essa condição não é atenuada por esta solução alternativa.

Mais Informações

Para obter mais informações sobre ameaças DMA ao BitLocker, consulte o seguinte blog do Microsoft Security:
Declarações do BitLocker no Windows
Para obter mais informações sobre atenuações de ataques estáticos ao BitLocker, consulte o seguinte blog da Equipe de Integridade da Microsoft:
Protegendo o BitLocker contra ataques estáticos
Observação: este é um artigo de ?PUBLICAÇÃO RÁPIDA? criado diretamente pela organização de suporte da Microsoft. As informações aqui contidas são fornecidas no presente estado, em resposta a questões emergentes. Como resultado da velocidade de disponibilização, os materiais podem incluir erros tipográficos e poderão ser revisados a qualquer momento, sem aviso prévio. Consulte os Termos de Uso para ver outras informações.

Propriedades

ID do artigo: 2516445 - Última revisão: quinta-feira, 9 de agosto de 2012 - Revisão: 3.0
A informação contida neste artigo aplica-se a:
  • Windows 7 Service Pack 1 nas seguintes plataformas
    • Windows 7 Home Basic
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Enterprise
  • Windows Server 2008 R2 Service Pack 1 nas seguintes plataformas
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2 nas seguintes plataformas
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 2 nas seguintes plataformas
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Service Pack 1 para Windows Vista nas seguintes plataformas
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Hyper V
  • Windows Server 2012 Standard
  • Windows 8
  • Windows 8 Professional
  • Windows 8 Enterprise
Palavras-chave: 
kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com