BitLockerin suojaaminen 1394 DMA- ja Thunderbolt DMA -uhkia vastaan SBP-2-ohjaimen ja Thunderbolt-ohjainten estämisen avulla

Windows Vista Service Pack 1:n (SP1) tuki päättyi 12.7.2011. Jos haluat saada Windowsin suojauspäivityksiä edelleen, varmista, että käyttöjärjestelmä on Windows Vista Service Pack 2 (SP2). Lisätietoja on seuraavassa Microsoftin WWW-sivustossa: Joidenkin Windows-versioiden tuki päättyy.
Oire
BitLockerilla suojattu tietokone saattaa olla alttiina DMA (Direct Memory Access) -hyökkäyksille, kun tietokoneeseen on kytketty virta tai kun se on valmiustilassa. Se on alttiina hyökkäyksille myös silloin, kun työasema on lukittuna.

Vain TPM-turvapiiriä käyttävä BitLocker-todennus antaa tietokoneen siirtyä virta kytkettynä -tilaan, ilman mitään käynnistystä edeltävää todennusta. Tämän vuoksi hyökkääjä saattaa pystyä tekemään DMA-hyökkäyksiä.

Näissä kokoonpanoissa hyökkääjä saattaa pystyä etsimään BitLocker-salausavaimia järjestelmän muistista tekeytymällä SBP-2-laitetunnukseksi käyttäen 1394-porttiin liitettyä hyökkäyslaitetta. Vaihtoehtoisesti myös aktiivinen Thunderbolt-portti sallii järjestelmämuistin käytön hyökkäyksen suorittamiseen.

Tämä artikkeli koskee seuraavia järjestelmiä:
  • Järjestelmät, joihin virta jätetään kytketyksi
  • Järjestelmät, jotka jätetään valmiustilaan
  • Järjestelmät, jotka käyttävät vain TPM-turvapiiriin perustuvaa BitLocker-suojausta
Syy
1394-portin fyysinen DMA

Alan standardin mukaiset 1394-ohjaimet (OHCI-yhteensopivat) tarjoavat toimintoja, joiden avulla järjestelmämuistia voi käyttää. Tämä toiminto tarjotaan, jotta suorituskyky olisi entistä parempi. Sen avulla suuria määriä tietoja voidaan siirtää suoraan 1394-laitteen ja järjestelmämuistin välillä niin, että suoritin ja ohjelmisto ohitetaan. Oletusarvon mukaan 1394-portin fyysinen DMA on poistettu käytöstä kaikissa Windowsin versioissa. 1394-portin fyysinen DMA voidaan ottaa käyttöön seuravilla tavoilla:
  • Järjestelmänvalvoja ottaa käyttöön 1394-portin ytimen virheenkorjauksen.
  • Joku tietokonetta fyysisesti käyttämään pystyvä liittää 1394-porttiin tallennuslaitteen, joka on SBP-2-määrityksen mukainen.
BitLockeria koskevat 1394-portin DMA-uhat

BitLockerin järjestelmän eheystarkistukset suojaavat luvattomia ytimen virheenkorjauksen tilan muutoksia vastaan. Hyökkääjä voi kuitenkin liittää hyökkäyslaitteen 1394-porttiin ja tekeytyä sitten SBP-2-laitetunnukseksi. Kun Windows havaitsee SBP-2-laitetunnuksen, se lataa SBP-2-ohjaimen (sbp2port.sys) ja antaa ohjaimelle sitten käskyn sallia SBP-2-laitteen suorittaa DMA:n eli suoran muistin käytön. Tämä antaa hyökkääjän päästä käsiksi järjestelmämuistiin ja etsiä BitLocker-salausavaimia.

Thunderbolt-portin fyysinen DMA

Thunderbolt on uusi ulkoinen väylä, jonka toimintojen avulla järjestelmämuistia voi käyttää suoraan. Nämä toiminnot tarjotaan, jotta suorituskyky olisi entistä parempi. Niiden avulla voidaan siirtää suuria määriä tietoja suoraan Thunderbolt-laitteen ja järjestelmämuistin välillä niin, että suoritin ja ohjelmisto ohitetaan. Mikään Windows-versio ei tue Thunderboltia, mutta valmistajat saattavat silti lisätä tämän porttityypin.

BitLockeria koskevat Thunderbolt-uhat

Hyökkääjä voi liittää erikoislaitteen Thunderbolt-porttiin ja käyttää muistia suoraan PCI Express -väylän kautta. Tämä voi antaa hyökkääjän päästä käsiksi järjestelmämuistiin ja hakea BitLocker-salausavaimia.
Ratkaisu
Jotkin BitLocker-kokoonpanot voivat vähentää tällaisen hyökkäyksen riskiä. TPM-turvapiirin ja PIN-tunnuksen (TPM+PIN), TPM-turvapiirin ja USB-portin (TPM+USB) sekä TPM-turvapiirin, PIN-tunnuksen ja USB-portin (TPM+PIN+USB) suojaustavat pienentävät DMA-hyökkäysten vaikutusta, kun tietokoneet eivät käytä lepotilaa (keskeytys RAM-muistiin). Jos organisaatiosi sallii vain TPM-turvapiiriä käyttävät suojaukset tai tukee lepotilassa olevia tietokoneita, Microsoft suosittelee, että estät Windowsin SBP-2-ohjaimen, jotta kaikkien Thunderbolt-ohjainten DMA-hyökkäysten riski pienenee.

Saat lisätietoja tästä seuraavasta Microsoftin verkkosivustosta:

SBP-2-ongelmaa lieventävät toimet

Lue aiemmin mainitussa verkkosivustossa osio Prevent installation of drivers matching these device setup classes (Estä näitä laiteasennusluokkia vastaavien ohjainten asennus), joka on kohdassa Group Policy Settings for Device Installation (Laiteasennusten ryhmäkäytäntöasetukset).

Seuraavassa on SBP-2-aseman Plug and Play -laiteasetusten GUID-luokka:
d48179be-ec20-11d1-b6b8-00c04fa372a7

Thunderbolt-ongelmaa lieventävät toimet

Tärkeää Seuraavat Thunderbolt-ongelmaa lieventävät toimet koskevat vain Windows 8:aa ja Windows Server 2012:ta. Ne eivät koske mitään muita tämän artikkelin alussa lueteltuja käyttöjärjestelmiä.

Lue aiemmin mainitussa verkkosivustossa osio Prevent installation of devices that match these device IDs (Estä näitä laitetunnuksia vastaavien laitteiden asennus) kohdassa Group Policy Settings for Device Installation (Laiteasennusten ryhmäkäytäntöasetukset).

Seuraavassa on Thunderbolt-ohjaimen Plug and Play -yhteensopiva tunnus:
PCI\CC_0C0A


Huomautuksia
  • Tämän heikkouden vaikutuksen pienentämistavan huono puoli on se, että ulkoisia tallennuslaitteita ei enää voi liittää 1394-portin avulla. Lisäksi mikään Thunderbolt-porttiin liitetty PCI Express -laite ei toimi. Koska USB- ja eSATA-laitteet ovat yleisempiä ja koska DisplayPort toimii usein, vaikka Thunderbolt on poistettu käytöstä, näiden heikkouden vaikutuksen pienentämistapojen haittavaikutuksen pitäisi olla rajallinen.
  • Jos laitteisto poikkeaa nykyisestä Windows Engineering Guidance -ohjeistuksesta, se saattaa ottaa DMA:n käyttöön näissä porteissa tietokoneen käynnistämisen jälkeen, ennen kuin Windows ottaa laitteiston hallintaansa. Tämä altistaa järjestelmän uhille, eikä tämä kiertotapa lievennä tätä ongelmaa.
Enemmän tietoa
Lisätietoja BitLockeria koskevista DMA-uhista on seuraavalla Microsoftin suojausaiheisessa blogissa: Lisätietoja BitLockeria vastaan tehtävistä suorahyökkäyksistä on seuraavassa Microsoft Integrity Team -blogissa:
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE Thunderbolt DMA Firewire SBP-2 1394
Huomautus Tämä on niin sanottu nopeasti julkaistava (”fast publish”) artikkeli, joka on laadittu suoraan Microsoftin tukiorganisaatiossa. Tässä olevat tiedot toimitetaan sellaisenaan vastauksena esiin tulleisiin ongelmiin. Koska aineisto on tuotu saataville nopeasti, se saattaa sisältää painovirheitä ja tietoja saatetaan muokata milloin tahansa ilman erillistä ilmoitusta. Lue muut huomioon otettavat seikat käyttöehdoista.
Eigenschaften

Artikelnummer: 2516445 – Letzte Überarbeitung: 08/09/2012 09:41:00 – Revision: 3.0

Windows 7 Service Pack 1, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Ultimate, Windows 7 Enterprise, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Service Pack 2, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Windows Vista Service Pack 2, Windows Vista Service Pack 1, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Hyper V, Windows Server 2012 Standard, Windows 8, Windows 8 Professional, Windows 8 Enterprise

  • kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445
Feedback