חסימת מנהל התקן SBP-2 ובקרי Thunderbolt להפחתת איומי ‎1394 DMA ו- Thunderbolt DMA על BitLocker

חל על: Windows 7 Service Pack 1Windows 7 Home BasicWindows 7 Home Premium

התמיכה ב- Windows Vista Service Pack 1 (SP1)‎ הסתיימה ב- 12 ביולי, 2011. כדי להמשיך לקבל עדכוני אבטחה עבור Windows, ודא שבמחשב שלך פועלת מערכת ההפעלה Windows Vista עם Service Pack 2 (SP2)‎. למידע נוסף, עבור לאתר האינטרנט הבא של Microsoft: התמיכה מסתיימת עבור חלק מהגירסאות של Windows.

מאפייני הבעיה


מחשב המוגן על-ידי BitLocker עלול להיות פגיע להתקפות גישה ישירה לזיכרון (DMA) כאשר המחשב מופעל או נמצא במצב המתנה. פגיעות זו קיימת גם כאשר שולחן העבודה נעול.

BitLocker עם אימות TPM בלבד מאפשר למחשב להיכנס למצב הפעלה בלי אימות קדם-אתחול כלשהו. לכן, תוקף עשוי להיות מסוגל לבצע התקפות DMA.

בתצורות אלו, תוקף עלול להיות מסוגל לחפש מפתחות הצפנה של BitLocker בזיכרון המערכת על-ידי התחזות למזהה החומרה של SBP-2 באמצעות התקן התקפה המחובר ליציאת 1394. לחלופין, יציאת Thunderbolt מספקת גישה גם לזיכרון המערכת לביצוע מתקפה.

מאמר זה מתייחס למערכות הבאות:
  • מערכות המושארות במצב פועל
  • מערכות המושארות במצב המתנה
  • מערכות המשתמשות בהגנת BitLocker של TPM בלבד

סיבה


‎1394 physical DMA

בקרי 1394 תקניים (תואמי OHCI) מספקים פונקציונליות המאפשרת גישה לזיכרון המערכת. פונקציונליות זו מסופקת כשיפור ביצועים. היא מאפשרת העברה של כמויות נתונים גדולות ישירות בין התקן 1394 לבין זיכרון המערכת, תוך עקיפת המעבד והתוכנה. כברירת מחדל, ‎1394 Physical DMA מושבת בכל הגירסאות של Windows. שתי האפשרויות הבאות זמינות להפעלת ‎1394 Physical DMA:
  • מנהל מערכת מאפשר איתור באגים בליבת ‎1394.
  • מישהו עם גישה פיזית למחשב מחבר התקן אחסון 1394 עם תאימות למפרט SBP-2.
איומי ‎1394 DMA על BitLocker

בדיקות שלמות מערכת של BitLocker מגינות כנגד שינויי מצב לא מורשים של איתור באגים בליבות. עם זאת, תוקף יכול לחבר התקן תקיפה ליציאת 1394, ואז להתחזות למזהה חומרה של SBP-2. כאשר Windows מגלה מזהה חומרה של SBP-2, הוא טוען את מנהל התקן SBP-2‏ (sbp2port.sys), ואז מורה למנהל ההתקן לאפשר להתקן SBP-2 לבצע גישה ישירה לזיכרון (DMA). מצב זה מאפשר לתוקף לקבל גישה לזיכרון המערכת ולחפש מפתחות הצפנה של BitLocker.

Thunderbolt physical DMA

Thunderbolt הוא אפיק חיצוני חדש עם פונקציונליות המאפשרת גישה ישירה לזיכרון המערכת. פונקציונליות זו מסופקת כשיפור ביצועים. היא מאפשרת העברה של כמויות נתונים גדולות ישירות בין התקן Thunderbolt לבין זיכרון המערכת, תוך עקיפת המעבד והתוכנה. Thunderbolt אינו נתמך באף גירסה של Windows, אך יצרנים עדיין עשויים להחליט לכלול סוג יציאה זה.

איומי Thunderbolt על BitLocker

תוקף יכול לחבר התקן למטרה מיוחדת ליציאת Thunderbolt ולקבל גישה ישירה מלאה דרך אפיק PCI Express. מצב זה עלול לאפשר לתוקף לקבל גישה לזיכרון מערכת ולחפש מפתחות הצפנה של BitLocker.

פתרון הבעיה


תצורות מסוימות של BitLocker יכולות לצמצם מתקפה מסוג זה. הגנות TPM+PIN‏, TPM+USB ו- TPM+PIN+USB מפחיתות את ההשפעה של התקפות DMA כאשר מחשבים אינם משתמשים במצב שינה (השהייה לזיכרון RAM). אם הארגון שלך מאפשר הגנות TPM בלבד או תומך במחשבים במצב שינה, מומלץ לחסום את מנהל התקן Windows SBP-2 ואת כל בקרי Thunderbolt כדי להפחית את הסיכון של התקפות DMA.

לקבלת מידע נוסף על אופן ביצוע כל אלה, עבור לאתר האינטרנט הבא של Microsoft:

הפחתת SBP-2

באתר האינטרנט שהוזכר קודם לכן, עבור לסעיף "מניעת התקנה של מנהלי התקנים התואמים לסיווגי התקנת ההתקנים הבאים" תחת "הגדרות מדיניות קבוצתית להתקנת התקנים".

להלן GUID של סיווג התקנת התקן 'הכנס הפעל' עבור מנהל התקן SBP-2:


d48179be-ec20-11d1-b6b8-00c04fa372a7

הפחתת Thunderbolt

חשוב הפחתת Thunderbolt הבאה חלה אך ורק על Windows 8 ועל Windows Server 2012. היא אינה חלה על אף אחת ממערכות ההפעלה האחרות שהוזכרו בסעיף "חל על".


באתר האינטרנט שהוזכר קודם לכן, עבור לסעיף "מניעת התקנה של מנהלי התקנים התואמים לסיווגי התקנת ההתקנים הבאים" תחת "הגדרות מדיניות קבוצתית להתקנת התקנים".

המזהה להלן הוא המזהה תואם 'הכנס הפעל' עבור בקר Thunderbolt:
PCI\CC_0C0A


הערות

מידע נוסף


למידע נוסף אודות איומי DMA על BitLocker, בקר בבלוג האבטחה הבא של Microsoft: לקבלת מידע נוסף על הפחתות עבור התקפות קרות נגד BitLocker, עיין בבלוג צוות Microsoft Integrity הבא: