Windows Vista Service Pack 1 (SP1) desteği 12 Temmuz 2011'de sona erdi. Windows güvenlik güncelleştirmelerini almaya devam etmek için bilgisayarınızda Service Pack 2'ye (SP2) sahip Windows Vista çalıştırıldığından emin olun. Daha fazla bilgi için aşağıdaki Microsoft web sitesine gidin: Bazı Windows sürümleri için destek sona eriyor.
Belirtiler
BitLocker tarafından korunan bir bilgisayar açıldığında veya Bekleme güç durumundayken Doğrudan Bellek Erişimi (DMA) saldırılarından etkilenebilir. Bu, masaüstü kilitli olduğu zamanı da içerir.
Yalnızca TPM kimlik doğrulaması ile BitLocker, bir bilgisayarın önyükleme öncesinde kimlik doğrulaması olmadan açılış durumuna geçmesine olanak verebilir. Bu nedenle, bir saldırgan DMA saldırıları gerçekleştirebilir.
Bu yapılandırmalarda, bir saldırgan 1394 numaralı bağlantı noktasına takılı olan bir aygıtı saldırı amacıyla kullanarak SBP-2 donanım kimliğini taklit etmek yoluyla sistem belleğinde BitLocker şifreleme anahtarlarını arayabilir. Alternatif olarak, etkin bir Thunderbolt bağlantı noktası da bir saldırı gerçekleştirmek için sistem belleğine erişim sağlar.
Bu makale aşağıdaki sistemler için geçerlidir:
-
Açık bırakılmış sistemler
-
Bekleme güç durumunda bırakılmış sistemler
-
Yalnızca TPM BitLocker koruyucusunu kullanan sistemler
Neden
1394 fiziksel DMA
Endüstri standardı 1394 denetleyicileri (OHCI uyumlu olan), sistem belleğine erişim sağlayan işlevler sağlar. Bu işlevsellik, bir performans iyileştirmesi olarak sağlanır. Büyük miktarda verinin CPU ve yazılımlar atlanarak doğrudan bir 1394 aygıtı ile sistem belleği arasında aktarılabilmesini sağlar. 1394 Fiziksel DMA varsayılan olarak Windows'un tüm sürümlerinde devre dışı bırakılmıştır. Aşağıdaki seçenekler 1394 Fiziksel DMA'yı etkinleştirmek üzere kullanılabilir:
-
Bir yönetici, 1394 Çekirdek Hata Ayıklaması'nı etkinleştirir.
-
Bilgisayara fiziksel erişimi olan bir kişi, SBP-2 belirtimiyle uyumlu bir 1394 depolama aygıtı bağlar.
BitLocker'a Yönelik 1394 DMA tehditleri
BitLocker sistem bütünlüğü denetimleri, yetkisiz Çekirdek Hata Ayıklaması durum değişikliklerine karşı koruma sağlar. Ancak bir saldırgan, 1394 numaralı bağlantı noktasına saldırı amacıyla kullanmak üzere bir aygıt bağlayıp daha sonra bir SBP-2 donanım kimliğini taklit edebilir. Windows bu SBP-2 donanım kimliğini algıladığında, SBP-2 sürücüsünü (sbp2port.sys) yükler ve ardından sürücüye SBP-2 aygıtının DMA gerçekleştirmesi için izin vermesini bildirir. Bu durum, bir saldırganın sistem belleğine erişim sağlamasına ve BitLocker şifreleme anahtarlarını aramasına olanak verir.
Thunderbolt fiziksel DMA
Thunderbolt, sistem belleğine doğrudan erişime olanak veren bir işlevselliğe sahip yeni dış veri yoludur. Bu işlevsellik, bir performans iyileştirmesi olarak sağlanır. Büyük miktarda verinin CPU ve yazılımlar atlanarak doğrudan bir Thunderbolt aygıtı ile sistem belleği arasında aktarılabilmesini sağlar. Thunderbolt hiçbir Windows sürümünde desteklenmez ancak üreticiler bu bağlantı noktası türünü halen ürünlere ekleyebilirler.
BitLocker'a yönelik Thunderbolt tehditleri
Bir saldırgan, özel amaçlı bir aygıtı Thunderbolt bağlantı noktasına bağlayabilir ve PCI Express veri yolu aracılığıyla doğrudan bellek erişimini tam olarak sağlayabilir. Bu, saldırganın sistem belleğine erişmesini ve BitLocker şifreleme anahtarlarını aramasını sağlayabilir.
Çözüm
BitLocker'ın bazı yapılandırmaları bu türdeki saldırı riskini azaltabilir. TPM+PIN, TPM+USB ve TPM+PIN+USB koruyucuları, bilgisayarların uyku modunu (RAM'de askıda kalma) kullanmadığı sırada DMA saldırılarının etkisini azaltır. Kuruluşunuzda yalnızca TPM koruyuculara izin veriliyorsa veya uyku modundaki bilgisayarlar destekleniyorsa, DMA saldırıları riskini azaltmak için Windows SBP-2 sürücüsünü ve tüm Thunderbolt denetleyicilerini engellemenizi öneririz.
Bunun nasıl yapılacağı hakkında daha fazla bilgi için, aşağıdaki Microsoft web sitesine gidin:
Aygıt Yüklemesini Grup İlkesi Kullanarak Denetlemeye Yönelik Adım Adım Kılavuz
SBP-2'yi Azaltıcı Etken
Daha önce anlatılan web sitesinde, "Aygıt Yükleme için Grup İlkesi Ayarları" altındaki "Bu aygıt kurulumu sınıflarıyla eşleşen sürücülerin yüklenmesini engelleme" bölümüne bakın.
Aşağıda SBP-2 sürücüsüne yönelik Tak ve Çalıştır aygıtı kurulum sınıfı GUID'si yer almaktadır:
d48179be-ec20-11d1-b6b8-00c04fa372a7
Thunderbolt'u Azaltıcı Etken
Önemli Aşağıdaki Thunderbolt'u azaltıcı etken yalnızca Windows 8 ve Windows Server 2012 için geçerlidir. "Aşağıdakilere uygulanır" bölümünde anlatılan diğer işletim sistemlerinin hiçbiri için geçerli değildir.
Daha önce anlatılan web sitesinde, "Aygıt Yükleme için Grup İlkesi Ayarları" altındaki "Bu aygıt kimlikleriyle eşleşen aygıtların yüklenmesini engelleme" bölümüne bakın.
Aşağıda Thunderbolt denetleyicisine yönelik Tak ve Çalıştır uyumlu kimlik yer almaktadır:
PCI\CC_0C0A
Notlar
Daha fazla bilgi
BitLocker'a yönelik DMA tehditleri hakkında daha fazla bilgi için, aşağıdaki Microsoft Güvenlik web günlüğünü ziyaret edin:
Windows BitLocker Talepleri BitLocker'a yönelik soğuk saldırıların azaltıcı etkileri hakkında daha fazla bilgi için, aşağıdaki Microsoft Bütünlük Ekibi web günlüğüne bakın:
