حظر برنامج التشغيل SBP-2 وعناصر تحكم Thunderbolt لتقليل مخاطر 1394 DMA و Thunderbolt DMA لـ BitLocker

الأعراض

قد يقع الكمبيوتر المحمي بـ BitLocker عرضة لهجمات الوصول المباشر للذاكرة (DMA) وذلك عندما يكون الكمبيوتر قيد التشغيل أو في وضع الاستعداد. ويتضمن ذلك عندما يتم تأمين سطح المكتب.

يسمح BitLocker المزود بمصادقة TPM-only للكمبيوتر بالدخول في حالة التشغيل دون الحاجة إلى أية مصادقة من مصادقات ما قبل التمهيد. ولذلك، قد يتمكن مهاجم ما من القيام بهجمات DMA.

في مثل هذه التكوينات، قد يتمكن مهاجم ما من البحث عن مفاتيح تشفير BitLocker في ذاكرة النظام وذلك من خلال انتحال معرف الجهاز SBP-2 باستخدام جهاز هجوم تم توصيله بمنفذ 1394. بدلا من ذلك، يقوم أيضًا منفذ Thunderbolt بتوفير اتصال لذاكرة النظام لتنفيذ هجمة.

تنطبق هذا المقالة على الأنظمة التالية:

• الأنظمة التي تم تركها قيد التشغيل.

• الأنظمة التي تم تركها في وضع الاستعداد

• الأنظمة التي تستخدم أداة حماية TPM-only BitLocker

السبب

1394 Physical DMA

توفر وحدات التحكم 1394 لمقاييس الصناعة (مضيف OHCI) الوظيفة التي تسمح بالوصول إلى ذاكرة النظام. حيث يتم تقديم هذه الوظيفة كتحسين في الأداء. وتعمل على تمكين كميات ضخمة من البيانات للنقل مباشرة بين جهاز 1394 وذاكرة النظام مع تجاوز CPU والبرامج. وبشكل افتراضي، يتم تعطيل 1394 Physical DMA في كافة إصدارات نظام التشغيل Windows. الخيارات التالية متاحة لتمكين 1394 Physical DMA:

• قيام مسؤول بتمكين تصحيح أخطاء 1394 Kernel.

• قيام شخص يملك الوصول الفعلي إلى الكمبيوتر بتوصيل جهاز تخزين 1394 الذي يتوافق مع مواصفات SBP-2

تهديدات 1394 DMA ضد BitLocker

تعمل تدقيقات تكامل نظام BitLocker على الحماية ضد تغييرات حالة تصحيح أخطاء Kernel غير المصرح بها. ومع ذلك، يمكن لمهاجم ما توصيل جهاز هجوم بمنفذ 1394، ثم ينتحل معرف جهاز SBP-2. وعندما يكتشف نظام التشغيل Windows معرف جهاز SBP-2، يقوم بتحميل برنامج تشغيل SBP-2 ‏(sbp2port.sys)، ثم يقوم بتوجيه برنامج التشغيل للسماح لجهاز SBP-2 للقيام بـ DMA. ويعمل هذا على تمكين مهاجم ما من الحصول على الوصول إلى ذاكرة النظام والبحث عن مفاتيح تشفير BitLocker.

Thunderbolt physical DMA

Thunderbolt هو ناقل خارجي جديد يتمتع بوظيفة تسمح بالوصول المباشر إلى ذاكرة النظام. حيث يتم تقديم هذه الوظيفة كتحسين في الأداء. وتعمل على تمكين كميات ضخمة من البيانات للنقل مباشرة بين جهاز Thunderbolt وذاكرة النظام مع تجاوز CPU والبرامج. Thunderbolt غير مدعوم في أي إصدار من Windows، لكن قد تقرر الشركات المصنعة تضمين هذا النوع من المنفذ.

تهديدات Thunderbolt ضد BitLocker

يمكن لأي معتدي توصيل جهاز لغرض خاص بمنفذ Thunderbolt ويتمتع بالوصول التام والمباشر إلى الذكرة عبر ناقل PCI Express. وقد يتيح ذلك للمعتدي الوصول إلى ذاكرة النظام والبحث عن مفاتيح تشفير BitLocker.

الحل

يمكن لبعض تكوينات BitLocker تقليل خطورة هذا النوع من الهجوم. كما تعمل أدوات الحماية TPM+PIN وTPM+USB وTPM+PIN+USB على تقليل الآثار الناجمة عن هجمات DMA عند عدم استخدام أجهزة الكمبيوتر لوضع السكون (معلق على RAM). وإذا كانت المنظمة الخاصة بك تسمح بأدوات الحماية TPM-only أو تدعم أجهزة الكمبيوتر في وضع السكون، نوصي بحظر برنامج تشغيل Windows SBP-2 وجميع عناصر التحكم في Thunderbolt بهدف تقليل المخاطر الناجمة عن هجمات DMA.

للمزيد من المعلومات حول كيفية إجراء ذلك، انتقل إلى موقع Microsoft التالي على الويب:

دليل خطوة بخطوة للتحكم في تثبيت الجهاز باستخدام نهج المجموعة

معلومات أخرى

لمزيد من المعلومات حول تهديدات DMA ضد BitLocker، راجع مدونة Microsoft التالية الخاصة بالحماية:

مطالبات Windows BitLocker لمزيد من المعلومات حول الحد من الحماية الخاصة بالهجمات الباردة ضد BitLocker، راجع مدونة Microsoft Integrity Team التالية على الويب:

حماية BitLocker من الهجمات الباردة