أنت غير متصل حاليًا، وفي انتظار الإنترنت الخاص بك ليقوم بإعادة الاتصال

حظر برنامج التشغيل SBP-2 وعناصر تحكم Thunderbolt لتقليل مخاطر 1394 DMA و Thunderbolt DMA لـ BitLocker

انتهي الدعم المقدم لـ Windows Vista Service Pack 1 ‏(SP1) في ١٢ يوليو ٢٠١١. لمتابعة تلقي التحديثات الأمنية لنظام التشغيل Windows، تأكد من تشغيل Windows Vista المزود بحزمة الخدمة Service Pack 2 ‏(SP2). لمزيد من المعلومات، الرجاء الرجوع إلى موقع Microsoft التالي على الويب: انتهاء الدعم لبعض إصدارات Windows.
الأعراض
قد يقع الكمبيوتر المحمي بـ BitLocker عرضة لهجمات الوصول المباشر للذاكرة (DMA) وذلك عندما يكون الكمبيوتر قيد التشغيل أو في وضع الاستعداد. ويتضمن ذلك عندما يتم تأمين سطح المكتب.

يسمح BitLocker المزود بمصادقة TPM-only للكمبيوتر بالدخول في حالة التشغيل دون الحاجة إلى أية مصادقة من مصادقات ما قبل التمهيد. ولذلك، قد يتمكن مهاجم ما من القيام بهجمات DMA.

في مثل هذه التكوينات، قد يتمكن مهاجم ما من البحث عن مفاتيح تشفير BitLocker في ذاكرة النظام وذلك من خلال انتحال معرف الجهاز SBP-2 باستخدام جهاز هجوم تم توصيله بمنفذ 1394. بدلا من ذلك، يقوم أيضًا منفذ Thunderbolt بتوفير اتصال لذاكرة النظام لتنفيذ هجمة.

تنطبق هذا المقالة على الأنظمة التالية:
  • الأنظمة التي تم تركها قيد التشغيل.
  • الأنظمة التي تم تركها في وضع الاستعداد
  • الأنظمة التي تستخدم أداة حماية TPM-only BitLocker
السبب
1394 Physical DMA

توفر وحدات التحكم 1394 لمقاييس الصناعة (مضيف OHCI) الوظيفة التي تسمح بالوصول إلى ذاكرة النظام. حيث يتم تقديم هذه الوظيفة كتحسين في الأداء. وتعمل على تمكين كميات ضخمة من البيانات للنقل مباشرة بين جهاز 1394 وذاكرة النظام مع تجاوز CPU والبرامج. وبشكل افتراضي، يتم تعطيل 1394 Physical DMA في كافة إصدارات نظام التشغيل Windows. الخيارات التالية متاحة لتمكين 1394 Physical DMA:
  • قيام مسؤول بتمكين تصحيح أخطاء 1394 Kernel.
  • قيام شخص يملك الوصول الفعلي إلى الكمبيوتر بتوصيل جهاز تخزين 1394 الذي يتوافق مع مواصفات SBP-2
تهديدات 1394 DMA ضد BitLocker

تعمل تدقيقات تكامل نظام BitLocker على الحماية ضد تغييرات حالة تصحيح أخطاء Kernel غير المصرح بها. ومع ذلك، يمكن لمهاجم ما توصيل جهاز هجوم بمنفذ 1394، ثم ينتحل معرف جهاز SBP-2. وعندما يكتشف نظام التشغيل Windows معرف جهاز SBP-2، يقوم بتحميل برنامج تشغيل SBP-2 ‏(sbp2port.sys)، ثم يقوم بتوجيه برنامج التشغيل للسماح لجهاز SBP-2 للقيام بـ DMA. ويعمل هذا على تمكين مهاجم ما من الحصول على الوصول إلى ذاكرة النظام والبحث عن مفاتيح تشفير BitLocker.

Thunderbolt physical DMA

Thunderbolt هو ناقل خارجي جديد يتمتع بوظيفة تسمح بالوصول المباشر إلى ذاكرة النظام. حيث يتم تقديم هذه الوظيفة كتحسين في الأداء. وتعمل على تمكين كميات ضخمة من البيانات للنقل مباشرة بين جهاز Thunderbolt وذاكرة النظام مع تجاوز CPU والبرامج. Thunderbolt غير مدعوم في أي إصدار من Windows، لكن قد تقرر الشركات المصنعة تضمين هذا النوع من المنفذ.

تهديدات Thunderbolt ضد BitLocker

يمكن لأي معتدي توصيل جهاز لغرض خاص بمنفذ Thunderbolt ويتمتع بالوصول التام والمباشر إلى الذكرة عبر ناقل PCI Express. وقد يتيح ذلك للمعتدي الوصول إلى ذاكرة النظام والبحث عن مفاتيح تشفير BitLocker.
الحل
يمكن لبعض تكوينات BitLocker تقليل خطورة هذا النوع من الهجوم. كما تعمل أدوات الحماية TPM+PIN وTPM+USB وTPM+PIN+USB على تقليل الآثار الناجمة عن هجمات DMA عند عدم استخدام أجهزة الكمبيوتر لوضع السكون (معلق على RAM). وإذا كانت المنظمة الخاصة بك تسمح بأدوات الحماية TPM-only أو تدعم أجهزة الكمبيوتر في وضع السكون، نوصي بحظر برنامج تشغيل Windows SBP-2 وجميع عناصر التحكم في Thunderbolt بهدف تقليل المخاطر الناجمة عن هجمات DMA.

للمزيد من المعلومات حول كيفية إجراء ذلك، انتقل إلى موقع Microsoft التالي على الويب:

الحد من حماية SBP-2

على الموقع المذكور سابقًا، ارجع إلى الجزء "منع تثبيت برامج التشغيل الموافقة لفئات إعداد الأجهزة هذه" ضمن "إعدادات نهج المجموعة لتثبيت الجهاز".

فيما يلي دليل فئة إعداد جهاز التوصيل والتشغيل لبرنامج التشغيل SBP-2:
d48179be-ec20-11d1-b6b8-00c04fa372a7

الحد من حماية Thunderbolt

هام ينطبق الحد من حماية Thunderbolt التالي فقط على Windows 8 وWindows Server 2012. ولا ينطبق على أي من أنظمة التشغيل الأخرى المذكورة في قسم "ينطبق على".

على الموقع المذكور سابقًا، ارجع إلى الجزء "منع تثبيت برامج التشغيل الموافقة لمعرفات الجهاز هذه" ضمن "إعدادات نهج المجموعة لتثبيت الجهاز".

فيما يلي معرف أجهزة توصيل وتشغيل متوافقة مع عنصر التحكم في Thunderbolt:
PCI\CC_0C0A


ملاحظات 
  • العيب الموجود في هذا الحد من الحماية هو أن أجهزة التخزين الخارجية لن يعد من الممكن توصيلها باستخدام منفذ 1394، وأن جميع أجهزة PCI Express المتصلة بمنفذ Thunderbolt لن تعمل. نظراً لأن USB وeSATA شائعان للغاية، ونظراً لأن DisplayPort غالبا ما يعمل في حالة تعطيل Thunderbolt، يجب الحد من التأثيرات المعاكسة الناجمة عن هذا الحد من الحماية.  
  • في حالة اختلاف جهازك عن توجيهات Windows الهندسية الحالية (Windows Engineering Guidance)، فقد يقوم بتمكين DMA على هذه المنافذ بعد بدء تشغيل الكمبيوتر وقبل تحكم Windows في الجهاز. يقوم ذلك بفتح النظام للاختراق، ولن يتم تخفيف هذه الحالة من خلال هذا الحل البديل.
معلومات أخرى
لمزيد من المعلومات حول تهديدات DMA ضد BitLocker، راجع مدونة Microsoft التالية الخاصة بالحماية: لمزيد من المعلومات حول الحد من الحماية الخاصة بالهجمات الباردة ضد BitLocker، راجع مدونة Microsoft Integrity Team التالية على الويب:
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE Thunderbolt DMA Firewire SBP-2 1394
خصائص

رقم الموضوع: 2516445 - آخر مراجعة: 08/09/2012 09:40:00 - المراجعة: 8.0

Windows 7 Service Pack 1, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Ultimate, Windows 7 Enterprise, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Service Pack 2, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Windows Vista Service Pack 2, Windows Vista Service Pack 1, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Hyper V, Windows Server 2012 Standard, Windows 8, Windows 8 Professional, Windows 8 Enterprise

  • kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445
تعليقات
&t=">t=">>
Uruguay - Español
대한민국 - 한국어
España - Español
Paraguay - Español
Venezuela - Español
/c1.microsoft.com/c.gif?DI=4050&did=1&t=">id=1&t="> var varCustomerTracking = 1; var Route = "76500"; var Ctrl = ""; document.write("