Αποκλεισμός του προγράμματος οδήγησης SBP-2 και των ελεγκτών Thunderbolt για τη μείωση των απειλών 1394 DMA και Thunderbolt DMA κατά του BitLocker

Η υποστήριξη του Windows Vista Service Pack 1 (SP1) έληξε στις 12 Ιουλίου 2011. Για να συνεχίσετε να λαμβάνετε ενημερώσεις ασφαλείας για τα Windows, βεβαιωθείτε ότι εκτελείτε τα Windows Vista με Service Pack 2 (SP2). Για περισσότερες πληροφορίες, μεταβείτε στην παρακάτω τοποθεσία Web της Microsoft: Η υποστήριξη λήγει για κάποιες εκδόσεις των Windows.

Συμπτώματα

Ένας υπολογιστής που προστατεύεται από το BitLocker ενδέχεται να είναι ευάλωτος σε επιθέσεις άμεσης πρόσβασης μνήμης (DMA) όταν ο υπολογιστής είναι ενεργοποιημένος ή βρίσκεται σε κατάσταση λειτουργίας αναμονής. Αυτό συμβαίνει ακόμη κι όταν η επιφάνεια εργασίας είναι κλειδωμένη.

Το BitLocker με έλεγχο ταυτότητας μόνο TPM επιτρέπει σε έναν υπολογιστή να εισέλθει σε κατάσταση ενεργοποίησης χωρίς έλεγχο ταυτότητας πριν από την εκκίνηση. Επομένως, ένας εισβολέας ενδέχεται να είναι σε θέση να πραγματοποιεί επιθέσεις DMA.

Με αυτές τις ρυθμίσεις παραμέτρων, ένας εισβολέας ενδέχεται να είναι σε θέση να πραγματοποιήσει αναζήτηση για κλειδιά κρυπτογράφησης BitLocker στη μνήμη του συστήματος πλαστογραφώντας το αναγνωριστικό υλικού του SBP-2 με τη χρήση μιας συσκευής επιθέσεων που είναι συνδεδεμένη σε μια θύρα 1394. Εναλλακτικά, μια ενεργή θύρα Thunderbolt μπορεί να παρέχει πρόσβαση στη μνήμη του συστήματος, ώστε να εκτελεστεί μια επίθεση.

Αυτό το άρθρο ισχύει για τα ακόλουθα συστήματα:
  • Συστήματα που παραμένουν ενεργοποιημένα
  • Συστήματα που παραμένουν σε κατάσταση λειτουργίας αναμονής
  • Συστήματα που χρησιμοποιούν την προστασία BitLocker μόνο με TPM

Αιτία

Φυσικό DMA 1394

Οι ελεγκτές 1394 που τηρούν τις απαραίτητες προϋποθέσεις της βιομηχανίας (συμβατοί με το OHCI) παρέχουν λειτουργικότητα η οποία καθιστά δυνατή την πρόσβαση στη μνήμη του συστήματος. Αυτή η λειτουργικότητα παρέχεται ως βελτίωση επιδόσεων. Επιτρέπει την απευθείας μεταφορά μεγάλων όγκων δεδομένων μεταξύ μιας συσκευής 1394 και της μνήμης συστήματος, παρακάμπτοντας CPU και λογισμικό. Από προεπιλογή, το φυσικό DMA 1394 είναι απενεργοποιημένο σε όλες τις εκδόσεις των Windows. Για την ενεργοποίηση του φυσικού DMA 1394 είναι διαθέσιμες οι παρακάτω επιλογές:
  • Ένας διαχειριστής ενεργοποιεί το πρόγραμμα εντοπισμού σφαλμάτων πυρήνα 1394.
  • Κάποιος που έχει φυσική πρόσβαση στον υπολογιστή συνδέει μια συσκευή αποθήκευσης 1394 η οποία συμμορφώνεται με την προδιαγραφή SBP-2.
Απειλές DMA 1394 για το BitLocker

Οι έλεγχοι ακεραιότητας συστήματος του BitLocker παρέχουν προστασία από μη εξουσιοδοτημένες αλλαγές κατάστασης του προγράμματος εντοπισμού σφαλμάτων πυρήνα. Ωστόσο, ένας εισβολέας μπορεί να συνδέσει μια συσκευή επίθεσης σε μια θύρα 1394 και, στη συνέχεια, να πλαστογραφήσει ένα αναγνωριστικό υλικού SBP-2. Όταν τα Windows εντοπίσουν το αναγνωριστικό υλικού SBP-2, πραγματοποιούν φόρτωση του προγράμματος οδήγησης SBP-2 (sbp2port.sys) και έπειτα καθοδηγούν το πρόγραμμα οδήγησης προκειμένου να επιτρέψει στη συσκευή SBP-2 να εκτελέσει το DMA. Έτσι, ένας εισβολέας μπορεί να αποκτήσει πρόσβαση στη μνήμη του συστήματος και να πραγματοποιήσει αναζήτηση για κλειδιά κρυπτογράφησης BitLocker.

Φυσικό Thunderbolt DMA

To Thunderbolt είναι ένας νέος εξωτερικός δίαυλος με μια λειτουργικότητα που επιτρέπει την άμεση πρόσβαση στη μνήμη του συστήματος. Αυτή η λειτουργικότητα παρέχεται ως βελτίωση επιδόσεων. Επιτρέπει την απευθείας μεταφορά μεγάλων όγκων δεδομένων μεταξύ μιας συσκευής Thunderbolt και της μνήμης του συστήματος, παρακάμπτοντας το CPU και το λογισμικό. Το Thunderbolt δεν υποστηρίζεται σε καμία έκδοση των Windows. Ωστόσο, οι κατασκευαστές ενδέχεται να αποφασίσουν να συμπεριλάβουν το συγκεκριμένο τύπο θύρας.

Απειλές Thunderbolt για το BitLocker

Ένας εισβολέας θα μπορούσε να συνδέσει μια συσκευή ειδικής χρήσης σε μια θύρα Thunderbolt και να αποκτήσει πλήρη άμεση πρόσβαση στη μνήμη μέσω του διαύλου PCI Express. Με τον τρόπο αυτό, ο εισβολέας θα μπορούσε να αποκτήσει πρόσβαση στη μνήμη του συστήματος και να πραγματοποιήσει αναζήτηση για κλειδιά κρυπτογράφησης BitLocker.

Προτεινόμενη αντιμετώπιση

Ορισμένες ρυθμίσεις παραμέτρων του BitLocker μπορούν να μειώσουν τον κίνδυνο για αυτό το είδος επίθεσης. Οι προστασίες TPM+PIN, TPM+USB και TPM+PIN+USB μειώνουν τον αντίκτυπο των επιθέσεων DMA όταν οι υπολογιστές δεν χρησιμοποιούν την κατάσταση αναστολής λειτουργίας (αναστολή στη RAM). Εάν η εταιρεία σας επιτρέπει προστασίες μόνο με TPM ή υποστηρίζει τους υπολογιστές σε κατάσταση αναστολής λειτουργίας, συνιστάται ο αποκλεισμός του προγράμματος οδήγησης SBP-2 των Windows και όλων των ελεγκτών Thunderbolt, ώστε να μειωθεί ο κίνδυνος των επιθέσεων DMA.

Για περισσότερες πληροφορίες σχετικά με τον τρόπο που μπορείτε να το κάνετε αυτό, μεταβείτε στην παρακάτω τοποθεσία Web της Microsoft:

Μετριασμός SBP-2

Στην τοποθεσία Web που αναφέρεται παραπάνω, ανατρέξτε στην ενότητα "Αποτροπή εγκατάστασης προγραμμάτων οδήγησης που ταιριάζουν με αυτές τις κλάσεις εγκατάστασης συσκευών" στην παράγραφο "Ρυθμίσεις πολιτικής ομάδας για την εγκατάσταση συσκευής".

Ακολουθεί η κλάση εγκατάστασης συσκευών για τοποθέτηση και άμεση λειτουργία GUID (Plug and Play) για μια μονάδα δίσκου SBP-2:


d48179be-ec20-11d1-b6b8-00c04fa372a7

Μετριασμός Thunderbolt

Σημαντικό Ο παρακάτω μετριασμός Thunderbolt ισχύει μόνο για τα Windows 8 και τα Windows Server 2012. Δεν ισχύει για κανένα άλλο από τα λειτουργικά συστήματα που αναφέρονται στην ενότητα "Ισχύει για".


Στην τοποθεσία Web που αναφέρεται παραπάνω, ανατρέξτε στην ενότητα "Αποτροπή εγκατάστασης συσκευών που ταιριάζουν με αυτές τις κλάσεις εγκατάστασης συσκευών" στην παράγραφο "Ρυθμίσεις πολιτικής ομάδας για την εγκατάσταση συσκευής".

Ακολουθεί το συμβατό αναγνωριστικό τοποθέτησης και άμεσης λειτουργίας για έναν ελεγκτή Thunderbolt:
PCI\CC_0C0A


Σημειώσεις

Περισσότερες πληροφορίες

Για περισσότερες πληροφορίες σχετικά με τις απειλές DMA στο BitLocker, επισκεφθείτε το ακόλουθο ιστολόγιο για την Ασφάλεια της Microsoft: Για περισσότερες πληροφορίες σχετικά με τους μετριασμούς για ψυχρές επιθέσεις εναντίον του BitLocker, ανατρέξτε στο παρακάτω ιστολόγιο της ομάδας ακεραιότητας της Microsoft:
Ιδιότητες

Αναγνωριστικό άρθρου: 2516445 - Τελευταία αναθεώρηση: 9 Αυγ 2012 - Αναθεώρηση: 1

Σχόλια