Teď jste offline a čekáte, až se znova připojí internet.

Blokování ovladače SBP-2 a řadičů Thunderbolt s cílem omezit ohrožení DMA standardu 1394 a Thunderbolt nástroje BitLocker

Podpora systému Windows Vista Service Pack 1 (SP1) byla ukončena 12. července 2011. Chcete-li pokračovat v přijímání aktualizací zabezpečení pro systém Windows, ověřte, zda používáte systém Windows Vista s aktualizací Service Pack 2 (SP2). Další informace naleznete na následující webové stránce společnosti Microsoft: Končí podpora pro některé verze systému Windows.
Příznaky
Počítač chráněný nástrojem BitLocker může být ohrožen útoky DMA (Direct Memory Access) v případě, že počítač je zapnut nebo je v úsporném režimu. To zahrnuje i situaci, kdy je plocha počítače uzamčena.

Nástroj BitLocker, který využívá pouze ověřování TPM, umožňuje, aby počítač byl zapnut, aniž by došlo k ověření před spuštěním. Proto útočník může provést útoky DMA.

V těchto konfiguracích útočník může v paměti systému vyhledat šifrovací klíče BitLocker, a to zfalšováním ID hardwaru SBP-2 prostřednictvím útočícího zařízení, které je připojeno k portu standardu 1394. Aktivní port Thunderbolt rovněž poskytuje přístup k systémové paměti a umožňuje provést útok.

Tento článek se týká následujících systémů:
  • Systémy, které jsou ponechány zapnuté.
  • Systémy, které jsou ponechány v úsporném režimu.
  • Systémy, které používají nástroj BitLocker s ověřováním pouze TPM.
Příčina
Fyzický přístup DMA pomocí standardu 1394

Řadiče standardu 1394 (kompatibilní se standardem OHCI) poskytují funkce umožňující přístup k paměti systému. Tyto funkce jsou poskytovány v rámci vylepšení výkonu. Umožňují rozsáhlé přenosy dat přímo mezi zařízením standardu 1394 a systémovou pamětí, a obcházejí tak procesor a software. Ve výchozím nastavení je fyzický přístup DMA pomocí standardu 1394 ve všech verzích systému Windows zablokován. Pro povolení fyzického přístupu DMA pomocí standardu 1394 jsou k dispozici následující možnosti:
  • Správce povolí ladění jádra pomocí standardu 1394.
  • Uživatel s fyzickým přístupem k počítači připojí paměťové zařízení standardu 1394, které vyhovuje specifikaci SBP-2.
Ohrožení DMA standardu 1394 nástroje BitLocker

Kontroly integrity systému nástroje BitLocker chrání před neoprávněnými změnami stavu ladění jádra. Útočník však může připojit útočící zařízení k portu standardu 1394 a pak zfalšovat ID hardwaru SBP-2. Systém Windows po detekci ID hardwaru SBP-2 načte ovladač SBP-2 (sbp2port.sys) a pak jej instruuje k tomu, aby zařízení SBP-2 umožnil přímý přístup k paměti. To útočníkovi umožní získat přístup k systémové paměti a vyhledat šifrovací klíče BitLocker.

Fyzický přístup DMA pomocí standardu Thunderbolt

Thunderbolt je nová externí sběrnice, jejíž funkce umožňují přímý přístup k systémové paměti. Tyto funkce jsou poskytovány v rámci vylepšení výkonu. Umožňují rozsáhlé přenosy dat přímo mezi zařízením standardu Thunderbolt a systémovou pamětí, a obcházejí tak procesor a software. Standard Thunderbolt není podporován žádnou verzí systému Windows, ale výrobci se přesto mohou rozhodnout pro zahrnutí tohoto typu portu.

Ohrožení standardu Thunderbolt nástroje BitLocker

Útočník může připojit k portu Thunderbolt speciální zařízení a získat tak plný přímý přístup do paměti prostřednictvím sběrnice PCI Express. To by útočníkovi mohlo umožnit získat přístup k systémové paměti a vyhledat šifrovací klíče nástroje BitLocker.
Řešení
Některé konfigurace nástroje BitLocker mohou riziko tohoto typu útoku omezit. Ochrany TPM+PIN, TPM+USB a TPM+PIN+USB omezují vliv útoků DMA, pokud počítače nepoužívají režim spánku (pozastavení s uložením do paměti RAM). Pokud vaše organizace připouští pouze ochrany TPM nebo podporuje počítače v režimu spánku, doporučujeme omezit rizika útoků DMA blokováním ovladače SBP-2 systému Windows a všech řadičů Thunderbolt.

Další informace o postupu naleznete na následujícím webu společnosti Microsoft:

Omezení rizik ovladače SBP-2

Na webu zmíněném výše přejděte k části Jak zabránit instalaci ovladačů odpovídajících těmto třídám nastavení zařízení pod nadpisem Nastavení zásad skupiny pro instalaci zařízení.

Toto je identifikátor GUID třídy nastavení zařízení Plug and Play pro jednotku SBP-2:
d48179be-ec20-11d1-b6b8-00c04fa372a7

Omezení rizik řadiče Thunderbolt

Důležité: Následující omezení rizik řadiče Thunderbolt se vztahuje pouze na systémy Windows 8 a Windows Server 2012. Nevztahuje se na žádný jiný z operačních systémů uvedených v části Informace v tomto článku jsou určeny pro produkt.

Na webu zmíněném výše přejděte k části Jak zabránit instalaci ovladačů odpovídajících těmto třídám nastavení zařízení pod nadpisem Nastavení zásad skupiny pro instalaci zařízení.

Toto je identifikátor ID kompatibilní s technologií Plug and Play pro řadič Thunderbolt:
PCI\CC_0C0A


Poznámky
  • Nevýhodou tohoto opatření je skutečnost, že externí paměťová zařízení již nelze připojovat pomocí portu standardu 1394 a že veškerá zařízení PCI Express připojená k portu Thunderbolt nebudou fungovat. Vzhledem k tomu, že výrazně častěji se vyskytují zařízení USB a eSATA a že technologie DisplayPort často funguje i v případě, že je standard Thunderbolt zakázán, negativní efekt způsobený tímto opatřením by měl být pouze omezený. 
  • Pokud se aktuálně použitý hardware odlišuje od aktuálních technických pokynů pro systém Windows, může po spuštění počítače a předtím, než kontrolu nad hardwarem převezme systém Windows, na těchto portech povolit přímý přístup do paměti. Tato situace může ohrozit zabezpečení systému a není tímto řešením zmírněna.
Další informace
Další informace o ohroženích DMA nástroje BitLocker naleznete na následujícím blogu zabezpečení společnosti Microsoft: Další informace o opatřeních při útocích na neaktivní počítač proti nástroji BitLocker naleznete na následujícím blogu týmu integrity společnosti Microsoft:
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE Thunderbolt DMA Firewire SBP-2 1394
Vlastnosti

ID článku: 2516445 - Poslední kontrola: 08/09/2012 09:40:00 - Revize: 8.0

Windows 7 Service Pack 1, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Ultimate, Windows 7 Enterprise, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Service Pack 2, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Aktualizace SP2 pro Windows Vista, Aktualizace SP1 pro Windows Vista, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Hyper V, Windows Server 2012 Standard, Windows 8, Windows 8 Professional, Windows 8 Enterprise

  • kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445
Váš názor
/html>>