Blocage du pilote SBP-2 et des contrôleurs Thunderbolt afin de réduire les menaces d'accès direct à la mémoire (DMA) Thunderbolt et d'accès direct à la mémoire (DMA) 1394 à l'encontre de BitLocker

La prise en charge de Windows Vista Service Pack 1 (SP1) a pris fin le 12 juillet 2011. Pour continuer à recevoir des mises à jour de sécurité pour Windows, assurez-vous que vous exécutez Windows Vista avec Service Pack 2 (SP2). Pour plus d'informations, reportez-vous au site Web de Microsoft à l'adresse suivante : Certaines versions de Windows ne seront bientôt plus prises en charge.

Symptômes

Un ordinateur protégé par BitLocker peut être vulnérable aux attaques d'accès direct à la mémoire (DMA) lorsque l'ordinateur est mis sous tension ou lorsqu'il est en veille, notamment lorsque le bureau est verrouillé.

BitLocker avec authentification TPM uniquement permet de mettre un ordinateur sous tension sans aucune authentification de prédémarrage. Par conséquent, un utilisateur malveillant peut effectuer des attaques DMA.

Dans ces configurations, un utilisateur malveillant peut rechercher les clés de chiffrement BitLocker dans la mémoire système en usurpant l'ID du matériel SBP-2. Il utilise pour ce faire un dispositif d'attaque connecté à un port 1394. Un port Thunderbolt actif permet également d'accéder à la mémoire système pour exécuter une attaque.

Cet article s'applique aux systèmes suivants :
  • Systèmes laissés sous tension
  • Systèmes laissés en veille
  • Systèmes utilisant uniquement le protecteur BitLocker TPM

Cause

Accès direct à la mémoire physique 1394

Les contrôleurs 1394 standards de l'industrie (compatibles OHCI) fournissent une fonctionnalité qui permet l'accès à la mémoire système. Cette fonctionnalité est fournie comme une amélioration de la performance. Elle permet de transférer directement de grands volumes de données d'un périphérique 1394 à la mémoire système, en contournant le processeur et le logiciel. Par défaut, le DMA physique 1394 est désactivé dans toutes les versions de Windows. Les options suivantes sont disponibles pour activer l'accès direct à la mémoire physique 1394 :
  • Un administrateur active le débogage du noyau 1394.
  • Une personne ayant un accès physique à l'ordinateur connecte un périphérique de stockage 1394 conforme à la spécification SBP-2
Menaces d'accès direct à la mémoire 1394 à l'encontre de BitLocker

Les contrôles de l'intégrité du système BitLocker protègent des modifications non autorisées de statut de débogage de noyau. Toutefois, un utilisateur malveillant pourrait connecter un dispositif d'attaque à un port 1394, puis usurper l'ID du matériel SBP-2. Lorsque Windows détecte l'ID du matériel SBP-2, il charge le pilote SBP-2 (sbp2port.sys) et demande au pilote d'autoriser le périphérique SBP-2 à accéder directement à la mémoire. Cela permet d'accéder à la mémoire système et de rechercher les clés de chiffrement BitLocker.

Accès direct à la mémoire physique Thunderbolt

Thunderbolt est un nouveau bus externe qui dispose de fonctionnalités permettant un accès direct à la mémoire système. Cette fonctionnalité est fournie comme une amélioration des performances. Elle permet de transférer directement de grands volumes de données d'un périphérique Thunderbolt à la mémoire système, en contournant le processeur et le logiciel. Thunderbolt n'est pris en charge dans aucune version de Windows, mais les fabricants peuvent encore décider d'inclure ce type de port.

Menaces Thunderbolt à l'encontre de BitLocker

Un utilisateur malveillant peut connecter un périphérique à objectif particulier à un port Thunderbolt et disposer d'un accès total direct à la mémoire via le bus PCI Express. Cela pourrait permettre à un utilisateur malveillant d'accéder à la mémoire système et de rechercher des clés de chiffrement BitLocker.

Résolution

Certaines configurations de BitLocker peuvent réduire le risque de ce genre d'attaque. Les protecteurs TPM+PIN, TPM+USB et TPM+PIN+USB réduisent l'effet des attaques DMA lorsque les ordinateurs n'utilisent pas le mode « veille » (suspension RAM). Si votre organisation autorise les protecteurs TPM uniquement ou prend en charge les ordinateurs en mode « veille », nous vous recommandons de bloquer le pilote Windows SBP-2 et tous les contrôles Thunderbolt afin de réduire le risque d'attaques DMA.

Pour plus d'informations sur la procédure à suivre, accédez au site Web de Microsoft suivant :

Mesure d'atténuation SBP-2

Sur le site Web précédemment mentionné, reportez-vous à la section relative à la manière d'empêcher l'installation des pilotes correspondant à ces classes d'installation de périphériques sous « Group Policy Settings for Device Installation » (Paramètres de stratégie de groupe pour l'installation de périphériques).

Voici le GUID de la classe d'installation de périphérique Plug-and-Play pour un lecteur SBP-2 :


d48179be-ec20-11d1-b6b8-00c04fa372a7

Mesure d'atténuation Thunderbolt

Important La mesure d'atténuation Thunderbolt suivante ne s'applique qu'à Windows 8 et à Windows Server 2012. Elle ne s'applique à aucun autre système d'exploitation mentionné dans la section des produits concernés.


Sur le site Web précédemment mentionné, reportez-vous à la section relative à la manière d'empêcher l'installation des périphériques correspondant à ces ID de périphérique sous « Group Policy Settings for Device Installation » (Paramètres de stratégie de groupe pour l'installation de périphériques).

Voici l'ID compatible Plug-and-Play pour un contrôleur Thunderbolt :
PCI\CC_0C0A


Remarques

Plus d'informations

Pour plus d'informations sur les menaces DMA à l'encontre de BitLocker, reportez-vous au blog suivant de Microsoft sur la sécurité : Pour plus d'informations sur les mesures d'atténuation des attaques à froid contre BitLocker, reportez-vous au blog suivant de l'équipe de l'intégrité Microsoft :
Propriétés

ID d'article : 2516445 - Dernière mise à jour : 9 août 2012 - Révision : 1

Windows 7 Service Pack 1, Windows 7 Édition Familiale Basique, Windows 7 Édition Familiale Basique, Windows 7 Édition Familiale Premium, Windows 7 Édition Familiale Premium, Windows 7 Professionnel, Windows 7 Professionnel, Windows 7 Édition Integrale, Windows 7 Édition Integrale, Windows 7 Entreprise, Windows 7 Entreprise, Windows 7 Édition Familiale Basique, Windows 7 Édition Familiale Basique, Windows 7 Édition Familiale Premium, Windows 7 Édition Familiale Premium, Windows 7 Professionnel, Windows 7 Professionnel, Windows 7 Édition Integrale, Windows 7 Édition Integrale, Windows 7 Entreprise, Windows 7 Entreprise, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Datacenter, Windows Server 2008 Service Pack 2, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Standard, Windows Web Server 2008, Windows Web Server 2008, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Standard, Windows Web Server 2008, Windows Web Server 2008, Windows Vista Service Pack 2, Windows Vista Professionnel, Windows Vista Professionnel, Windows Vista Entreprise, Windows Vista Entreprise, Windows Vista Édition Familiale Basique, Windows Vista Édition Familiale Basique, Windows Vista Édition Familiale Premium, Windows Vista Édition Familiale Premium, Windows Vista Starter, Windows Vista Starter, Windows Vista Édition Intégrale, Windows Vista Édition Intégrale, Windows Vista Entreprise 64 bits, Windows Vista Entreprise 64 bits, Windows Vista Édition Familiale Basique 64 bits, Windows Vista Édition Familiale Basique 64 bits, Windows Vista Édition Familiale Premium 64 bits, Windows Vista Édition Familiale Premium 64 bits, Windows Vista Édition Intégrale 64 bits, Windows Vista Édition Intégrale 64 bits, Windows Vista Professionnel 64 bits, Windows Vista Professionnel 64 bits, Windows Vista Service Pack 1, Windows Vista Professionnel, Windows Vista Professionnel, Windows Vista Entreprise, Windows Vista Entreprise, Windows Vista Édition Familiale Basique, Windows Vista Édition Familiale Basique, Windows Vista Édition Familiale Premium, Windows Vista Édition Familiale Premium, Windows Vista Starter, Windows Vista Starter, Windows Vista Édition Intégrale, Windows Vista Édition Intégrale, Windows Vista Entreprise 64 bits, Windows Vista Entreprise 64 bits, Windows Vista Édition Familiale Basique 64 bits, Windows Vista Édition Familiale Basique 64 bits, Windows Vista Édition Familiale Premium 64 bits, Windows Vista Édition Familiale Premium 64 bits, Windows Vista Édition Intégrale 64 bits, Windows Vista Édition Intégrale 64 bits, Windows Vista Professionnel 64 bits, Windows Vista Professionnel 64 bits, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Microsoft Hyper-V Server 2012, Windows Server 2012 Standard, Windows 8, Windows 8 Enterprise

Commentaires