Podpora systému Windows Vista Service Pack 1 (SP1) byla ukončena 12. července 2011. Chcete-li pokračovat v přijímání aktualizací zabezpečení pro systém Windows, ověřte, zda používáte systém Windows Vista s aktualizací Service Pack 2 (SP2). Další informace naleznete na následující webové stránce společnosti Microsoft: Končí podpora pro některé verze systému Windows.
Příznaky
Počítač chráněný nástrojem BitLocker může být ohrožen útoky DMA (Direct Memory Access) v případě, že počítač je zapnut nebo je v úsporném režimu. To zahrnuje i situaci, kdy je plocha počítače uzamčena. Nástroj BitLocker, který využívá pouze ověřování TPM, umožňuje, aby počítač byl zapnut, aniž by došlo k ověření před spuštěním. Proto útočník může provést útoky DMA. V těchto konfiguracích útočník může v paměti systému vyhledat šifrovací klíče BitLocker, a to zfalšováním ID hardwaru SBP-2 prostřednictvím útočícího zařízení, které je připojeno k portu standardu 1394. Aktivní port Thunderbolt rovněž poskytuje přístup k systémové paměti a umožňuje provést útok. Tento článek se týká následujících systémů:
-
Systémy, které jsou ponechány zapnuté.
-
Systémy, které jsou ponechány v úsporném režimu.
-
Systémy, které používají nástroj BitLocker s ověřováním pouze TPM.
Příčina
Fyzický přístup DMA pomocí standardu 1394Řadiče standardu 1394 (kompatibilní se standardem OHCI) poskytují funkce umožňující přístup k paměti systému. Tyto funkce jsou poskytovány v rámci vylepšení výkonu. Umožňují rozsáhlé přenosy dat přímo mezi zařízením standardu 1394 a systémovou pamětí, a obcházejí tak procesor a software. Ve výchozím nastavení je fyzický přístup DMA pomocí standardu 1394 ve všech verzích systému Windows zablokován. Pro povolení fyzického přístupu DMA pomocí standardu 1394 jsou k dispozici následující možnosti:
-
Správce povolí ladění jádra pomocí standardu 1394.
-
Uživatel s fyzickým přístupem k počítači připojí paměťové zařízení standardu 1394, které vyhovuje specifikaci SBP-2.
Ohrožení DMA standardu 1394 nástroje BitLockerKontroly integrity systému nástroje BitLocker chrání před neoprávněnými změnami stavu ladění jádra. Útočník však může připojit útočící zařízení k portu standardu 1394 a pak zfalšovat ID hardwaru SBP-2. Systém Windows po detekci ID hardwaru SBP-2 načte ovladač SBP-2 (sbp2port.sys) a pak jej instruuje k tomu, aby zařízení SBP-2 umožnil přímý přístup k paměti. To útočníkovi umožní získat přístup k systémové paměti a vyhledat šifrovací klíče BitLocker.Fyzický přístup DMA pomocí standardu ThunderboltThunderbolt je nová externí sběrnice, jejíž funkce umožňují přímý přístup k systémové paměti. Tyto funkce jsou poskytovány v rámci vylepšení výkonu. Umožňují rozsáhlé přenosy dat přímo mezi zařízením standardu Thunderbolt a systémovou pamětí, a obcházejí tak procesor a software. Standard Thunderbolt není podporován žádnou verzí systému Windows, ale výrobci se přesto mohou rozhodnout pro zahrnutí tohoto typu portu. Ohrožení standardu Thunderbolt nástroje BitLockerÚtočník může připojit k portu Thunderbolt speciální zařízení a získat tak plný přímý přístup do paměti prostřednictvím sběrnice PCI Express. To by útočníkovi mohlo umožnit získat přístup k systémové paměti a vyhledat šifrovací klíče nástroje BitLocker.
Řešení
Některé konfigurace nástroje BitLocker mohou riziko tohoto typu útoku omezit. Ochrany TPM+PIN, TPM+USB a TPM+PIN+USB omezují vliv útoků DMA, pokud počítače nepoužívají režim spánku (pozastavení s uložením do paměti RAM). Pokud vaše organizace připouští pouze ochrany TPM nebo podporuje počítače v režimu spánku, doporučujeme omezit rizika útoků DMA blokováním ovladače SBP-2 systému Windows a všech řadičů Thunderbolt. Další informace o postupu naleznete na následujícím webu společnosti Microsoft:
Podrobný návod pro kontrolu instalace zařízení pomocí zásad skupiny
Omezení rizik ovladače SBP-2
Na webu zmíněném výše přejděte k části Jak zabránit instalaci ovladačů odpovídajících těmto třídám nastavení zařízení pod nadpisem Nastavení zásad skupiny pro instalaci zařízení. Toto je identifikátor GUID třídy nastavení zařízení Plug and Play pro jednotku SBP-2:
d48179be-ec20-11d1-b6b8-00c04fa372a7
Omezení rizik řadiče Thunderbolt
Důležité: Následující omezení rizik řadiče Thunderbolt se vztahuje pouze na systémy Windows 8 a Windows Server 2012. Nevztahuje se na žádný jiný z operačních systémů uvedených v části Informace v tomto článku jsou určeny pro produkt.Na webu zmíněném výše přejděte k části Jak zabránit instalaci ovladačů odpovídajících těmto třídám nastavení zařízení pod nadpisem Nastavení zásad skupiny pro instalaci zařízení. Toto je identifikátor ID kompatibilní s technologií Plug and Play pro řadič Thunderbolt:
PCI\CC_0C0APoznámky
Další informace
Další informace o ohroženích DMA nástroje BitLocker naleznete na následujícím blogu zabezpečení společnosti Microsoft:
Nároky nástroje Windows BitLockerDalší informace o opatřeních při útocích na neaktivní počítač proti nástroji BitLocker naleznete na následujícím blogu týmu integrity společnosti Microsoft:
