Jelenleg nem kapcsolódik az internethez. Várakozás a kapcsolat helyreállítására

A böngésző nem támogatott

A webhelyet csak frissített böngészővel lehet használni.

Frissítsen az Internet Explorer legújabb verziójára

Az SBP-2 illesztőprogram és a Thunderbolt vezérlők blokkolása a BitLocker szolgáltatás 1394-es és Thunderbolt közvetlen memória-hozzáférési rendszeren (DMA) keresztüli fenyegetéseinek...

A Windows Vista Service Pack 1 (SP1) rendszer támogatása 2011. július 12-én véget ért. Ha továbbra is hozzá szeretne jutni a Windows biztonsági frissítéseihez, futtassa a Service Pack 2 (SP2) szervizcsomaggal bővített Windows Vista rendszert. További információt a Microsoft következő webhelyén talál: Megszűnik egyes Windows-verziók támogatása.
A jelenség
A BitLocker technológiával védett számítógép sebezhetővé válhat a közvetlen memória-hozzáférési (DMA) rendszeren keresztüli támadásokkal szemben, amikor a számítógép bekapcsolt vagy készenléti állapotban van. Ez arra az esetre is vonatkozik, ha az asztal zárolva van.

A csak TPM-hitelesítést igénylő BitLocker lehetővé teszi, hogy a számítógép bármilyen indítás előtti hitelesítés nélkül bekapcsoljon. A támadók így képesek lehetnek DMA-támadások kivitelezésére.

Ezekben az esetekben a támadó egy 1394-es szabványú portra csatlakoztatott támadóeszközzel, és az SBP-2 hardverazonosító meghamisításával megpróbálhatja megkeresni a BitLocker szolgáltatásnak a rendszer memóriájában tárolt titkosítási kulcsait. Egy aktív Thunderbolt-porton keresztül szintén elérhető a rendszermemória, és támadás hajtható végre.

A cikk az alábbi rendszerekre vonatkozik:
  • Bekapcsolt állapotban hagyott rendszerek
  • Készenléti állapotban hagyott rendszerek
  • A csak TPM-hitelesítést igénylő BitLocker védelemmel ellátott rendszerek
Oka
1394-es eszközök fizikai közvetlen memória-hozzáférése (DMA)

A szabványos 1394-es rendszerű vezérlők (OHCI-kompatibilis vezérlők) engedélyezik a rendszermemória elérését. Ez a funkció a teljesítmény növelésére szolgál, és lehetővé teszi nagy mennyiségű adat közvetlen átvitelét az 1394-es rendszerű eszközök és a rendszermemória között, kihagyva a processzort és a szoftveres átviteli funkciókat. Az 1394-es eszközök esetében a memória közvetlen fizikai elérése alapértelmezés szerint a Windows minden verziójában tiltott. Az 1394-es eszközök fizikai közvetlen memória-hozzáférése a következő módokon engedélyezhető:
  • Egy rendszergazda engedélyezi az 1394-es eszközökhöz kapcsolódó rendszermag-hibakeresést
  • Valaki, aki fizikai hozzáféréssel rendelkezik a számítógéphez, csatlakoztat egy 1394-es tárolóeszközt, amely megfelel az SBP-2 specifikációnak.
Az 1394-es eszközök közvetlen memória-hozzáférésének veszélyei a BitLocker szolgáltatásra

A BitLocker rendszerépségi ellenőrzései védelmet nyújtanak a rendszermag-hibakeresés jogosulatlan állapotváltásai ellen. Egy támadó azonban csatlakoztathat egy támadó eszközt egy 1394-es portra, majd hamisíthat egy SBP-2 hardverazonosítót. Amikor a Windows észleli az SBP-2 hardverazonosítót, betölti az SBP-2 illesztőprogramot (sbp2port.sys), majd utasítja azt, hogy engedélyezze az SBP-2 eszköz számára a közvetlen memória-hozzáférést. Ez lehetővé teszi a támadó számára, hogy hozzáférjen a rendszermemóriához és BitLocker titkosítási kulcsokat keressen. 

Thunderbolt fizikai közvetlen memória-hozzáférés (DMA)

A Thunderbolt egy új külső busz, amelynek egyes funkciói közvetlen hozzáférést tesznek lehetővé a rendszermemóriához. Ez a funkció a teljesítmény növelésére szolgál. Nagy mennyiségű adat közvetlen átvitelét teszi lehetővé a Thunderbolt rendszerű eszközök és a rendszermemória között, a processzor és a szoftveres átviteli funkciók kihagyásával. A Thunderbolt a Windows egyetlen verziójában sem támogatott, de a gyártók ettől függetlenül beépíthetik ezt a porttípust.

A Thunderbolt veszélyei a BitLocker szolgáltatásra

Ha egy támadó csatlakoztat egy speciális célú eszközt a Thunderbolt portra, teljes közvetlen memória-hozzáférést szerezhet a PCI Express buszon keresztül, így hozzáférhet a rendszermemóriához és BitLocker titkosítási kulcsokat kereshet.
A megoldás
A BitLocker bizonyos beállításaival csökkenthető az ilyen támadások kockázata. A TPM+PIN, a TPM+USB illetve a TPM+PIN+USB védelmi modulok csökkenthetik a közvetlen memória-hozzáférésen (DMA) keresztül végrehajtott támadások hatását abban az esetben, ha a számítógép nem lép alvó (hibernált) állapotba. Amennyiben a vállalat engedélyezi a csak TPM hitelesítést igénylő védelmi modulok használatát vagy a számítógépek alvó állapotba helyezését, a közvetlen memória-hozzáférésen (DMA) keresztül végrehajtott támadás kockázatának csökkentése érdekében javasoljuk a Windows SBP-2 meghajtó és az összes Thunderbolt-vezérlő zárolását.

További információt ezzel kapcsolatban a Microsoft következő webhelyén talál: (előfordulhat, hogy a lap angol nyelven jelenik meg)

Az SBP-2 kockázatainak csökkentése

A fent említett webhelyen tekintse meg „Az eszköztelepítési osztályoknak megfelelő illesztőprogramok telepítésének megakadályozása” részt az „Eszköztelepítési csoportházirend-beállítások” fejezetben (előfordulhat, hogy a lap angol nyelven jelenik meg).

A következő érték egy Plug and Play eszköz telepítési osztályának GUID azonosítója egy SBP-2 illesztőprogramhoz:
d48179be-ec20-11d1-b6b8-00c04fa372a7

A Thunderbolt kockázatainak csökkentése

Fontos: A Thunderbolt veszélyeinek következő csökkentése csak a Windows 8 és a Windows Server 2012 rendszerre vonatkozik, az érintett rendszerek listájában felsorolt többi operációs rendszerre nem.

A korábban már említett webhelyen tekintse meg „Az eszközazonosítóknak megfelelő eszközök telepítésének megakadályozása” részt az „Eszköztelepítési csoportházirend-beállítások” fejezetben (előfordulhat, hogy a lap angol nyelven jelenik jelenik meg).

A következő érték egy Thunderbolt-vezérlő Plug and Play-kompatibilis azonosítója:
PCI\CC_0C0A


Megjegyzések:
  • A kockázatcsökkentés hátránya, hogy a továbbiakban nem lehet külső tárolóeszközöket csatlakoztatni az 1394-es porton keresztül, illetve a Thunderbolt-portra csatlakoztatott PCI Express eszközök nem fognak működni. Mivel az USB és az eSATA igen elterjedt, a DisplayPort pedig gyakran a Thunderbolt letiltása esetén is működik, a kockázatcsökkentés kedvezőtlen hatásai mérsékeltek. 
  • Ha az adott hardver eltér az aktuális Windows Engineering Guidance útmutatóban foglaltaktól, előfordulhat, hogy engedélyezi a közvetlen memória-hozzáférést ezeken a portokon a számítógép indítása után, mielőtt még a Windows átvenné a hardver irányítását. Ez sebezhetővé teszi a rendszert a fenyegetésekkel szemben, és a veszélyt ez a kerülő megoldás sem tudja csökkenteni.
További információ
A BitLocker szolgáltatást érintő, közvetlen memória-hozzáférési rendszeren (DMA) keresztüli fenyegetésekről a következő Microsoft Security blogon talál további információt: A BitLocker ellen irányuló, kikapcsolt állapotban kezdeményezett támadások kockázatainak csökkentéséről a Microsoft Integrity Team blogban talál további információt:
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE Thunderbolt DMA Firewire SBP-2 1394
Megjegyzés: Ez egy „GYORS KÖZZÉTÉTELŰ” cikk, amelyet maga Microsoft támogatási csoportja készített. A benne fogalt információkat a jelentkező problémákra válaszul, az adott állapotukban biztosítjuk. Az anyagok a közzétételük gyorsaságából következően tartalmazhatnak sajtóhibákat, illetve külön értesítés nélkül bármikor átdolgozáson eshetnek át. További tudnivalók olvashatók a felhasználási feltételek között.
Tulajdonságok

Cikkazonosító: 2516445 - Utolsó ellenőrzés: 08/09/2012 09:42:00 - Verziószám: 3.0

  • Windows 7 Service Pack 1
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Enterprise
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Service Pack 2 szervizcsomag a Windows Vista rendszerhez
  • Service Pack 1 szervizcsomag a Windows Vista rendszerhez
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Hyper V
  • Windows Server 2012 Standard
  • Windows 8
  • Windows 8 Professional
  • Windows 8 Enterprise
  • kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445
Visszajelzés
4050&did=1&t=">e="text/JavaScript" async=""> var varAutoFirePV = 1; var varClickTracking = 1; var varCustomerTracking = 1; var Route = "76500"; var Ctrl = ""; document.write(" >>ow.location.protocol) + "//c.microsoft.com/ms.js'><\/script>"); &t=">>