A Windows Vista Service Pack 1 (SP1) rendszer támogatása 2011. július 12-én véget ért. Ha továbbra is hozzá szeretne jutni a Windows biztonsági frissítéseihez, futtassa a Service Pack 2 (SP2) szervizcsomaggal bővített Windows Vista rendszert. További információt a Microsoft következő webhelyén talál: Megszűnik egyes Windows-verziók támogatása.
A jelenség
A BitLocker technológiával védett számítógép sebezhetővé válhat a közvetlen memória-hozzáférési (DMA) rendszeren keresztüli támadásokkal szemben, amikor a számítógép bekapcsolt vagy készenléti állapotban van. Ez arra az esetre is vonatkozik, ha az asztal zárolva van.
A csak TPM-hitelesítést igénylő BitLocker lehetővé teszi, hogy a számítógép bármilyen indítás előtti hitelesítés nélkül bekapcsoljon. A támadók így képesek lehetnek DMA-támadások kivitelezésére.
Ezekben az esetekben a támadó egy 1394-es szabványú portra csatlakoztatott támadóeszközzel, és az SBP-2 hardverazonosító meghamisításával megpróbálhatja megkeresni a BitLocker szolgáltatásnak a rendszer memóriájában tárolt titkosítási kulcsait. Egy aktív Thunderbolt-porton keresztül szintén elérhető a rendszermemória, és támadás hajtható végre.
A cikk az alábbi rendszerekre vonatkozik:
-
Bekapcsolt állapotban hagyott rendszerek
-
Készenléti állapotban hagyott rendszerek
-
A csak TPM-hitelesítést igénylő BitLocker védelemmel ellátott rendszerek
Oka
1394-es eszközök fizikai közvetlen memória-hozzáférése (DMA)
A szabványos 1394-es rendszerű vezérlők (OHCI-kompatibilis vezérlők) engedélyezik a rendszermemória elérését. Ez a funkció a teljesítmény növelésére szolgál, és lehetővé teszi nagy mennyiségű adat közvetlen átvitelét az 1394-es rendszerű eszközök és a rendszermemória között, kihagyva a processzort és a szoftveres átviteli funkciókat. Az 1394-es eszközök esetében a memória közvetlen fizikai elérése alapértelmezés szerint a Windows minden verziójában tiltott. Az 1394-es eszközök fizikai közvetlen memória-hozzáférése a következő módokon engedélyezhető:
-
Egy rendszergazda engedélyezi az 1394-es eszközökhöz kapcsolódó rendszermag-hibakeresést
-
Valaki, aki fizikai hozzáféréssel rendelkezik a számítógéphez, csatlakoztat egy 1394-es tárolóeszközt, amely megfelel az SBP-2 specifikációnak.
Az 1394-es eszközök közvetlen memória-hozzáférésének veszélyei a BitLocker szolgáltatásra
A BitLocker rendszerépségi ellenőrzései védelmet nyújtanak a rendszermag-hibakeresés jogosulatlan állapotváltásai ellen. Egy támadó azonban csatlakoztathat egy támadó eszközt egy 1394-es portra, majd hamisíthat egy SBP-2 hardverazonosítót. Amikor a Windows észleli az SBP-2 hardverazonosítót, betölti az SBP-2 illesztőprogramot (sbp2port.sys), majd utasítja azt, hogy engedélyezze az SBP-2 eszköz számára a közvetlen memória-hozzáférést. Ez lehetővé teszi a támadó számára, hogy hozzáférjen a rendszermemóriához és BitLocker titkosítási kulcsokat keressen.
Thunderbolt fizikai közvetlen memória-hozzáférés (DMA)
A Thunderbolt egy új külső busz, amelynek egyes funkciói közvetlen hozzáférést tesznek lehetővé a rendszermemóriához. Ez a funkció a teljesítmény növelésére szolgál. Nagy mennyiségű adat közvetlen átvitelét teszi lehetővé a Thunderbolt rendszerű eszközök és a rendszermemória között, a processzor és a szoftveres átviteli funkciók kihagyásával. A Thunderbolt a Windows egyetlen verziójában sem támogatott, de a gyártók ettől függetlenül beépíthetik ezt a porttípust.
A Thunderbolt veszélyei a BitLocker szolgáltatásra
Ha egy támadó csatlakoztat egy speciális célú eszközt a Thunderbolt portra, teljes közvetlen memória-hozzáférést szerezhet a PCI Express buszon keresztül, így hozzáférhet a rendszermemóriához és BitLocker titkosítási kulcsokat kereshet.
A megoldás
A BitLocker bizonyos beállításaival csökkenthető az ilyen támadások kockázata. A TPM+PIN, a TPM+USB illetve a TPM+PIN+USB védelmi modulok csökkenthetik a közvetlen memória-hozzáférésen (DMA) keresztül végrehajtott támadások hatását abban az esetben, ha a számítógép nem lép alvó (hibernált) állapotba. Amennyiben a vállalat engedélyezi a csak TPM hitelesítést igénylő védelmi modulok használatát vagy a számítógépek alvó állapotba helyezését, a közvetlen memória-hozzáférésen (DMA) keresztül végrehajtott támadás kockázatának csökkentése érdekében javasoljuk a Windows SBP-2 meghajtó és az összes Thunderbolt-vezérlő zárolását.
További információt ezzel kapcsolatban a Microsoft következő webhelyén talál:
A vezérlőeszközök csoportházirenddel történő telepítésének részletes útmutatója (előfordulhat, hogy a lap angol nyelven jelenik meg)
Az SBP-2 kockázatainak csökkentése
A fent említett webhelyen tekintse meg „Az eszköztelepítési osztályoknak megfelelő illesztőprogramok telepítésének megakadályozása” részt az „Eszköztelepítési csoportházirend-beállítások” fejezetben (előfordulhat, hogy a lap angol nyelven jelenik meg).
A következő érték egy Plug and Play eszköz telepítési osztályának GUID azonosítója egy SBP-2 illesztőprogramhoz:
d48179be-ec20-11d1-b6b8-00c04fa372a7
A Thunderbolt kockázatainak csökkentése
Fontos: A Thunderbolt veszélyeinek következő csökkentése csak a Windows 8 és a Windows Server 2012 rendszerre vonatkozik, az érintett rendszerek listájában felsorolt többi operációs rendszerre nem.
A korábban már említett webhelyen tekintse meg „Az eszközazonosítóknak megfelelő eszközök telepítésének megakadályozása” részt az „Eszköztelepítési csoportházirend-beállítások” fejezetben (előfordulhat, hogy a lap angol nyelven jelenik jelenik meg).
A következő érték egy Thunderbolt-vezérlő Plug and Play-kompatibilis azonosítója:
PCI\CC_0C0A
Megjegyzések:
További információ
A BitLocker szolgáltatást érintő, közvetlen memória-hozzáférési rendszeren (DMA) keresztüli fenyegetésekről a következő Microsoft Security blogon talál további információt:
Windows BitLocker Claims A BitLocker ellen irányuló, kikapcsolt állapotban kezdeményezett támadások kockázatainak csökkentéséről a Microsoft Integrity Team blogban talál további információt:
A BitLocker védelme kikapcsolt állapotban kezdeményezhető támadások ellen
