Αυτήν τη στιγμή είστε εκτός σύνδεσης, σε αναμονή για επανασύνδεση στο Internet
Είσοδος

Αποκλεισμός του προγράμματος οδήγησης SBP-2 και των ελεγκτών Thunderbolt για τη μείωση των απειλών 1394 DMA και Thunderbolt DMA κατά του BitLocker

Η υποστήριξη του Windows Vista Service Pack 1 (SP1) έληξε στις 12 Ιουλίου 2011. Για να συνεχίσετε να λαμβάνετε ενημερώσεις ασφαλείας για τα Windows, βεβαιωθείτε ότι εκτελείτε τα Windows Vista με Service Pack 2 (SP2). Για περισσότερες πληροφορίες, μεταβείτε στην παρακάτω τοποθεσία Web της Microsoft: Η υποστήριξη λήγει για κάποιες εκδόσεις των Windows.
Συμπτώματα
Ένας υπολογιστής που προστατεύεται από το BitLocker ενδέχεται να είναι ευάλωτος σε επιθέσεις άμεσης πρόσβασης μνήμης (DMA) όταν ο υπολογιστής είναι ενεργοποιημένος ή βρίσκεται σε κατάσταση λειτουργίας αναμονής. Αυτό συμβαίνει ακόμη κι όταν η επιφάνεια εργασίας είναι κλειδωμένη.

Το BitLocker με έλεγχο ταυτότητας μόνο TPM επιτρέπει σε έναν υπολογιστή να εισέλθει σε κατάσταση ενεργοποίησης χωρίς έλεγχο ταυτότητας πριν από την εκκίνηση. Επομένως, ένας εισβολέας ενδέχεται να είναι σε θέση να πραγματοποιεί επιθέσεις DMA.

Με αυτές τις ρυθμίσεις παραμέτρων, ένας εισβολέας ενδέχεται να είναι σε θέση να πραγματοποιήσει αναζήτηση για κλειδιά κρυπτογράφησης BitLocker στη μνήμη του συστήματος πλαστογραφώντας το αναγνωριστικό υλικού του SBP-2 με τη χρήση μιας συσκευής επιθέσεων που είναι συνδεδεμένη σε μια θύρα 1394. Εναλλακτικά, μια ενεργή θύρα Thunderbolt μπορεί να παρέχει πρόσβαση στη μνήμη του συστήματος, ώστε να εκτελεστεί μια επίθεση.

Αυτό το άρθρο ισχύει για τα ακόλουθα συστήματα:
  • Συστήματα που παραμένουν ενεργοποιημένα
  • Συστήματα που παραμένουν σε κατάσταση λειτουργίας αναμονής
  • Συστήματα που χρησιμοποιούν την προστασία BitLocker μόνο με TPM
Αιτία
Φυσικό DMA 1394

Οι ελεγκτές 1394 που τηρούν τις απαραίτητες προϋποθέσεις της βιομηχανίας (συμβατοί με το OHCI) παρέχουν λειτουργικότητα η οποία καθιστά δυνατή την πρόσβαση στη μνήμη του συστήματος. Αυτή η λειτουργικότητα παρέχεται ως βελτίωση επιδόσεων. Επιτρέπει την απευθείας μεταφορά μεγάλων όγκων δεδομένων μεταξύ μιας συσκευής 1394 και της μνήμης συστήματος, παρακάμπτοντας CPU και λογισμικό. Από προεπιλογή, το φυσικό DMA 1394 είναι απενεργοποιημένο σε όλες τις εκδόσεις των Windows. Για την ενεργοποίηση του φυσικού DMA 1394 είναι διαθέσιμες οι παρακάτω επιλογές:
  • Ένας διαχειριστής ενεργοποιεί το πρόγραμμα εντοπισμού σφαλμάτων πυρήνα 1394.
  • Κάποιος που έχει φυσική πρόσβαση στον υπολογιστή συνδέει μια συσκευή αποθήκευσης 1394 η οποία συμμορφώνεται με την προδιαγραφή SBP-2.
Απειλές DMA 1394 για το BitLocker

Οι έλεγχοι ακεραιότητας συστήματος του BitLocker παρέχουν προστασία από μη εξουσιοδοτημένες αλλαγές κατάστασης του προγράμματος εντοπισμού σφαλμάτων πυρήνα. Ωστόσο, ένας εισβολέας μπορεί να συνδέσει μια συσκευή επίθεσης σε μια θύρα 1394 και, στη συνέχεια, να πλαστογραφήσει ένα αναγνωριστικό υλικού SBP-2. Όταν τα Windows εντοπίσουν το αναγνωριστικό υλικού SBP-2, πραγματοποιούν φόρτωση του προγράμματος οδήγησης SBP-2 (sbp2port.sys) και έπειτα καθοδηγούν το πρόγραμμα οδήγησης προκειμένου να επιτρέψει στη συσκευή SBP-2 να εκτελέσει το DMA. Έτσι, ένας εισβολέας μπορεί να αποκτήσει πρόσβαση στη μνήμη του συστήματος και να πραγματοποιήσει αναζήτηση για κλειδιά κρυπτογράφησης BitLocker.

Φυσικό Thunderbolt DMA

To Thunderbolt είναι ένας νέος εξωτερικός δίαυλος με μια λειτουργικότητα που επιτρέπει την άμεση πρόσβαση στη μνήμη του συστήματος. Αυτή η λειτουργικότητα παρέχεται ως βελτίωση επιδόσεων. Επιτρέπει την απευθείας μεταφορά μεγάλων όγκων δεδομένων μεταξύ μιας συσκευής Thunderbolt και της μνήμης του συστήματος, παρακάμπτοντας το CPU και το λογισμικό. Το Thunderbolt δεν υποστηρίζεται σε καμία έκδοση των Windows. Ωστόσο, οι κατασκευαστές ενδέχεται να αποφασίσουν να συμπεριλάβουν το συγκεκριμένο τύπο θύρας.

Απειλές Thunderbolt για το BitLocker

Ένας εισβολέας θα μπορούσε να συνδέσει μια συσκευή ειδικής χρήσης σε μια θύρα Thunderbolt και να αποκτήσει πλήρη άμεση πρόσβαση στη μνήμη μέσω του διαύλου PCI Express. Με τον τρόπο αυτό, ο εισβολέας θα μπορούσε να αποκτήσει πρόσβαση στη μνήμη του συστήματος και να πραγματοποιήσει αναζήτηση για κλειδιά κρυπτογράφησης BitLocker.
Προτεινόμενη αντιμετώπιση
Ορισμένες ρυθμίσεις παραμέτρων του BitLocker μπορούν να μειώσουν τον κίνδυνο για αυτό το είδος επίθεσης. Οι προστασίες TPM+PIN, TPM+USB και TPM+PIN+USB μειώνουν τον αντίκτυπο των επιθέσεων DMA όταν οι υπολογιστές δεν χρησιμοποιούν την κατάσταση αναστολής λειτουργίας (αναστολή στη RAM). Εάν η εταιρεία σας επιτρέπει προστασίες μόνο με TPM ή υποστηρίζει τους υπολογιστές σε κατάσταση αναστολής λειτουργίας, συνιστάται ο αποκλεισμός του προγράμματος οδήγησης SBP-2 των Windows και όλων των ελεγκτών Thunderbolt, ώστε να μειωθεί ο κίνδυνος των επιθέσεων DMA.

Για περισσότερες πληροφορίες σχετικά με τον τρόπο που μπορείτε να το κάνετε αυτό, μεταβείτε στην παρακάτω τοποθεσία Web της Microsoft:

Μετριασμός SBP-2

Στην τοποθεσία Web που αναφέρεται παραπάνω, ανατρέξτε στην ενότητα "Αποτροπή εγκατάστασης προγραμμάτων οδήγησης που ταιριάζουν με αυτές τις κλάσεις εγκατάστασης συσκευών" στην παράγραφο "Ρυθμίσεις πολιτικής ομάδας για την εγκατάσταση συσκευής".

Ακολουθεί η κλάση εγκατάστασης συσκευών για τοποθέτηση και άμεση λειτουργία GUID (Plug and Play) για μια μονάδα δίσκου SBP-2:
d48179be-ec20-11d1-b6b8-00c04fa372a7

Μετριασμός Thunderbolt

Σημαντικό Ο παρακάτω μετριασμός Thunderbolt ισχύει μόνο για τα Windows 8 και τα Windows Server 2012. Δεν ισχύει για κανένα άλλο από τα λειτουργικά συστήματα που αναφέρονται στην ενότητα "Ισχύει για".

Στην τοποθεσία Web που αναφέρεται παραπάνω, ανατρέξτε στην ενότητα "Αποτροπή εγκατάστασης συσκευών που ταιριάζουν με αυτές τις κλάσεις εγκατάστασης συσκευών" στην παράγραφο "Ρυθμίσεις πολιτικής ομάδας για την εγκατάσταση συσκευής".

Ακολουθεί το συμβατό αναγνωριστικό τοποθέτησης και άμεσης λειτουργίας για έναν ελεγκτή Thunderbolt:
PCI\CC_0C0A


Σημειώσεις
  • Το μειονέκτημα αυτού του μετριασμού είναι ότι οι συσκευές εξωτερικής αποθήκευσης δεν μπορούν πλέον να συνδέονται με χρήση της θύρας 1394 και όλες οι συσκευές PCI Express που είναι συνδεδεμένες στη θύρα Thunderbolt δεν θα λειτουργήσουν. Επειδή οι τύποι σύνδεσης USB και eSATA είναι ευρέως συνδεδεμένοι και επειδή το DisplayPort συχνά λειτουργεί ακόμη κι όταν το Thunderbolt είναι απενεργοποιημένο, τα αρνητικά αποτελέσματα που προκαλούνται από αυτόν τον μετριασμό κινδύνου θα πρέπει να περιορίζονται. 
  • Εάν το υλικό σας αποκλίνει από τις τρέχουσες κατευθυντήριες οδηγίες μηχανικής των Windows, ενδέχεται να ενεργοποιήσει το DMA σε αυτές τις θύρες μόλις εκκινήσετε τον υπολογιστή και πριν τα Windows αποκτήσουν τον έλεγχο του υλικού. Αυτό θέτει σε κίνδυνο το σύστημά σας και αυτή η συνθήκη δεν μετριάζεται από αυτήν τη λύση.
Περισσότερες πληροφορίες
Για περισσότερες πληροφορίες σχετικά με τις απειλές DMA στο BitLocker, επισκεφθείτε το ακόλουθο ιστολόγιο για την Ασφάλεια της Microsoft: Για περισσότερες πληροφορίες σχετικά με τους μετριασμούς για ψυχρές επιθέσεις εναντίον του BitLocker, ανατρέξτε στο παρακάτω ιστολόγιο της ομάδας ακεραιότητας της Microsoft:
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE Thunderbolt DMA Firewire SBP-2 1394
Ιδιότητες

Αναγνωριστικό άρθρου: 2516445 - Τελευταία αναθεώρηση: 08/09/2012 09:41:00 - Αναθεώρηση: 8.0

  • Windows 7 Service Pack 1
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Enterprise
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Service Pack 2 για Windows Vista
  • Service Pack 1 για Windows Vista
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Hyper V
  • Windows Server 2012 Standard
  • Windows 8
  • Windows 8 Professional
  • Windows 8 Enterprise
  • kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445
Σχόλια
var Ctrl = ""; document.write("