Az SBP-2 illesztőprogram és a Thunderbolt vezérlők blokkolása a BitLocker szolgáltatás 1394-es és Thunderbolt közvetlen memória-hozzáférési rendszeren (DMA) keresztüli fenyegetéseinek...

A Windows Vista Service Pack 1 (SP1) rendszer támogatása 2011. július 12-én véget ért. Ha továbbra is hozzá szeretne jutni a Windows biztonsági frissítéseihez, futtassa a Service Pack 2 (SP2) szervizcsomaggal bővített Windows Vista rendszert. További információt a Microsoft következő webhelyén talál: Megszűnik egyes Windows-verziók támogatása.

A jelenség

A BitLocker technológiával védett számítógép sebezhetővé válhat a közvetlen memória-hozzáférési (DMA) rendszeren keresztüli támadásokkal szemben, amikor a számítógép bekapcsolt vagy készenléti állapotban van. Ez arra az esetre is vonatkozik, ha az asztal zárolva van.

A csak TPM-hitelesítést igénylő BitLocker lehetővé teszi, hogy a számítógép bármilyen indítás előtti hitelesítés nélkül bekapcsoljon. A támadók így képesek lehetnek DMA-támadások kivitelezésére.

Ezekben az esetekben a támadó egy 1394-es szabványú portra csatlakoztatott támadóeszközzel, és az SBP-2 hardverazonosító meghamisításával megpróbálhatja megkeresni a BitLocker szolgáltatásnak a rendszer memóriájában tárolt titkosítási kulcsait. Egy aktív Thunderbolt-porton keresztül szintén elérhető a rendszermemória, és támadás hajtható végre.

A cikk az alábbi rendszerekre vonatkozik:
  • Bekapcsolt állapotban hagyott rendszerek
  • Készenléti állapotban hagyott rendszerek
  • A csak TPM-hitelesítést igénylő BitLocker védelemmel ellátott rendszerek

Oka

1394-es eszközök fizikai közvetlen memória-hozzáférése (DMA)

A szabványos 1394-es rendszerű vezérlők (OHCI-kompatibilis vezérlők) engedélyezik a rendszermemória elérését. Ez a funkció a teljesítmény növelésére szolgál, és lehetővé teszi nagy mennyiségű adat közvetlen átvitelét az 1394-es rendszerű eszközök és a rendszermemória között, kihagyva a processzort és a szoftveres átviteli funkciókat. Az 1394-es eszközök esetében a memória közvetlen fizikai elérése alapértelmezés szerint a Windows minden verziójában tiltott. Az 1394-es eszközök fizikai közvetlen memória-hozzáférése a következő módokon engedélyezhető:
  • Egy rendszergazda engedélyezi az 1394-es eszközökhöz kapcsolódó rendszermag-hibakeresést
  • Valaki, aki fizikai hozzáféréssel rendelkezik a számítógéphez, csatlakoztat egy 1394-es tárolóeszközt, amely megfelel az SBP-2 specifikációnak.
Az 1394-es eszközök közvetlen memória-hozzáférésének veszélyei a BitLocker szolgáltatásra

A BitLocker rendszerépségi ellenőrzései védelmet nyújtanak a rendszermag-hibakeresés jogosulatlan állapotváltásai ellen. Egy támadó azonban csatlakoztathat egy támadó eszközt egy 1394-es portra, majd hamisíthat egy SBP-2 hardverazonosítót. Amikor a Windows észleli az SBP-2 hardverazonosítót, betölti az SBP-2 illesztőprogramot (sbp2port.sys), majd utasítja azt, hogy engedélyezze az SBP-2 eszköz számára a közvetlen memória-hozzáférést. Ez lehetővé teszi a támadó számára, hogy hozzáférjen a rendszermemóriához és BitLocker titkosítási kulcsokat keressen. 

Thunderbolt fizikai közvetlen memória-hozzáférés (DMA)

A Thunderbolt egy új külső busz, amelynek egyes funkciói közvetlen hozzáférést tesznek lehetővé a rendszermemóriához. Ez a funkció a teljesítmény növelésére szolgál. Nagy mennyiségű adat közvetlen átvitelét teszi lehetővé a Thunderbolt rendszerű eszközök és a rendszermemória között, a processzor és a szoftveres átviteli funkciók kihagyásával. A Thunderbolt a Windows egyetlen verziójában sem támogatott, de a gyártók ettől függetlenül beépíthetik ezt a porttípust.

A Thunderbolt veszélyei a BitLocker szolgáltatásra

Ha egy támadó csatlakoztat egy speciális célú eszközt a Thunderbolt portra, teljes közvetlen memória-hozzáférést szerezhet a PCI Express buszon keresztül, így hozzáférhet a rendszermemóriához és BitLocker titkosítási kulcsokat kereshet.

A megoldás

A BitLocker bizonyos beállításaival csökkenthető az ilyen támadások kockázata. A TPM+PIN, a TPM+USB illetve a TPM+PIN+USB védelmi modulok csökkenthetik a közvetlen memória-hozzáférésen (DMA) keresztül végrehajtott támadások hatását abban az esetben, ha a számítógép nem lép alvó (hibernált) állapotba. Amennyiben a vállalat engedélyezi a csak TPM hitelesítést igénylő védelmi modulok használatát vagy a számítógépek alvó állapotba helyezését, a közvetlen memória-hozzáférésen (DMA) keresztül végrehajtott támadás kockázatának csökkentése érdekében javasoljuk a Windows SBP-2 meghajtó és az összes Thunderbolt-vezérlő zárolását.

További információt ezzel kapcsolatban a Microsoft következő webhelyén talál: (előfordulhat, hogy a lap angol nyelven jelenik meg)

Az SBP-2 kockázatainak csökkentése

A fent említett webhelyen tekintse meg „Az eszköztelepítési osztályoknak megfelelő illesztőprogramok telepítésének megakadályozása” részt az „Eszköztelepítési csoportházirend-beállítások” fejezetben (előfordulhat, hogy a lap angol nyelven jelenik meg).

A következő érték egy Plug and Play eszköz telepítési osztályának GUID azonosítója egy SBP-2 illesztőprogramhoz:


d48179be-ec20-11d1-b6b8-00c04fa372a7

A Thunderbolt kockázatainak csökkentése

Fontos: A Thunderbolt veszélyeinek következő csökkentése csak a Windows 8 és a Windows Server 2012 rendszerre vonatkozik, az érintett rendszerek listájában felsorolt többi operációs rendszerre nem.


A korábban már említett webhelyen tekintse meg „Az eszközazonosítóknak megfelelő eszközök telepítésének megakadályozása” részt az „Eszköztelepítési csoportházirend-beállítások” fejezetben (előfordulhat, hogy a lap angol nyelven jelenik jelenik meg).

A következő érték egy Thunderbolt-vezérlő Plug and Play-kompatibilis azonosítója:
PCI\CC_0C0A


Megjegyzések:

További információ

A BitLocker szolgáltatást érintő, közvetlen memória-hozzáférési rendszeren (DMA) keresztüli fenyegetésekről a következő Microsoft Security blogon talál további információt: A BitLocker ellen irányuló, kikapcsolt állapotban kezdeményezett támadások kockázatainak csökkentéséről a Microsoft Integrity Team blogban talál további információt:
Tulajdonságok

Cikkazonosító: 2516445 - Utolsó ellenőrzés: 2012. aug. 9. - Verziószám: 1

Visszajelzés