Al momento sei offline in attesa che la connessione Internet venga ristabilita

Blocco del driver SBP-2 e dei controller Thunderbolt per ridurre le minacce 1394 DMA e DMA Thunderbolt per BitLocker

Il supporto per Windows Vista Service Pack 1 (SP1) è terminato il 12 luglio 2011. Per continuare a ricevere gli aggiornamenti della sicurezza per Windows, utilizzare Windows Vista con Service Pack 2 (SP2). Per ulteriori informazioni, fare riferimento alla pagina Web Microsoft riportata di seguito: Per alcune versioni di Windows il servizio di supporto non è più disponibile.
Sintomi
Un computer protetto da BitLocker può essere vulnerabile ad attacchi al DMA quando lo stato di alimentazione risulta attivo o in standby. Ciò si verifica quando il desktop è bloccato.

BitLocker, unicamente con l'autenticazione TPM, consente a un computer di passare allo stato di alimentazione attivo senza alcuna autenticazione pre-boot. Di conseguenza, un utente malintenzionato può essere in grado di eseguire attacchi al DMA.

Con queste configurazioni, un utente malintenzionato può essere in grado di trovare le chiavi di crittografia di BitLocker nella memoria di sistema, simulando l'ID hardware SBP-2 e utilizzando un dispositivo di attacco collegato a una porta 1394. In alternativa, anche una porta Thunderbolt attiva consente di accedere alla memoria di sistema per eseguire un attacco.

Le informazioni riportate in questo articolo sono valide per i seguenti sistemi:
  • Sistemi lasciati in stato di alimentazione attiva
  • Sistemi lasciati in stato di alimentazione di standby
  • Sistemi che utilizzano unicamente la protezione BitLocker TPM
Cause
DMA fisico 1394

I controller 1394 (compatibili con OHCI) standard del settore forniscono la funzionalità che permette di accedere alla memoria di sistema. Questa funzionalità viene fornita per migliorare le prestazioni. Abilita il trasferimento diretto di grandi quantità di dati tra un dispositivo 1394 e la memoria di sistema, evitando la CPU e il software. Per impostazione predefinita, il DMA fisico 1394 è disattivato in tutte le versioni di Windows. Per attivare il DMA fisico 1394 sono disponibili le seguenti opzioni:
  • Un amministratore consente il debug del kernel 1394.
  • Un altro utente con accesso fisico a un computer collega un dispositivo di archiviazione 1394 conforme con le specifiche SBP-2.
Minacce al DMA 1394 per BitLocker

I controlli di integrità di sistema di BitLocker proteggono contro modifiche non autorizzate dello stato di debug del kernel. È tuttavia possibile che un utente malintenzionato colleghi un dispositivo di attacco a una porta 1394 e poi ignori l'ID hardware SBP-2. Se Windows rileva l'ID hardware SBP-2, carica l'unità SBP-2 (sbp2port.sys) e indica all'unità di consentire l'esecuzione del DMA per il dispositivo SBP-2. In questo modo un utente malintenzionato accede alla memoria di sistema e trova le chiavi di crittografia di BitLocker. 

DMA fisico ThunderBolt

Thunderbolt è un nuovo bus esterno che dispone di funzionalità che consentono accesso diretto alla memoria di sistema. Questa funzionalità viene fornita per migliorare le prestazioni. Abilita il trasferimento diretto di grandi quantità di dati tra un dispositivo Thunderbolt e la memoria di sistema, evitando la CPU e il software. Thunderbolt non è supportato in nessuna versione di Windows ma i produttori possono comunque decidere di includere tale tipo di porta.

Minacce ThunderBolt per BitLocker

Un utente malintenzionato può connettere un dispositivo per scopi speciali a una porta Thunderbolt e ottenere pieno accesso diretto alla memoria via bus PCI Express. In questo modo l'utente malintenzionato può accedere alla memoria del sistema e cercare le chiavi di crittografia BitLocker.
Risoluzione
Alcune configurazioni di BitLocker possono ridurre il rischio di questo tipo di attacchi. Le protezioni TPM+PIN, TPM+USB e TPM+PIN+USB riducono l'effetto degli attacchi al DMA mentre i computer non utilizzano la modalità di sospensione (sospensione in memoria RAM). Se l'organizzazione consente unicamente protezioni TPM o supporta computer in modalità di sospensione, si consiglia di bloccare l'unità SBP-2 in Windows e tutti i controller Thunderbolt al fine di ridurre il rischio di attacchi al DMA.

Per ulteriori informazioni su tale operazione, fare riferimento alla pagina Web Microsoft riportata di seguito:

Attenuazione SBP-2

Sul sito Web menzionato in precedenza, fare riferimento alla sezione "Prevent installation of drivers matching these device setup classes" in "Group Policy Settings for Device Installation".

La seguente è la classe Plug and Play device setup GUID per un'unità SBP-2:
d48179be-ec20-11d1-b6b8-00c04fa372a7

Attenuazione di Thunderbolt

Importante La seguente attenuazione di Thunderbolt viene applicata esclusivamente a Windows 8 e Windows Server 2012. Non viene applicata a tutti gli altri sistemi operativi menzionati nella sezione "Le informazioni in questo articolo si applicano a".

Sul sito Web menzionato in precedenza, fare riferimento alla sezione "Prevent installation of devices that match these device IDs" in "Group Policy Settings for Device Installation".

Di seguito è riportato l'ID compatibile Plug and Play per un controller di Thunderbolt:
PCI\CC_0C0A


Note
  • L'aspetto negativo di questa attenuazione è che non è più possibile connettere i dispositivi di archiviazione esterni utilizzando la porta 1394, pertanto tutti i dispositivi PCI Express connessi alla porta non funzioneranno. Siccome eSATA e USB hanno una presenza prevalente e la porta DisplayPort spesso lavora anche quando Thunderbolt è disattivato, gli effetti negativi causati da tali attenuazioni sono limitati. 
  • Se l'hardware si discosta dall'attuale Windows Engineering Guidance, potrebbe attivare il DMA su tali porte dopo l'avvio del computer e prima che Windows prenda i controllo dell'hardware. Il sistema verrà aperto e compromesso, tale condizione non viene attenuata da questa soluzione alternativa.
Informazioni
Per ulteriori informazioni sulle minacce al DMA per BitLocker, visitare il seguente blog sulla sicurezza Microsoft: Per ulteriori informazioni sulle attenuazioni degli attacchi contro BitLocker, visitare il seguente blog del Microsoft Integrity Team:
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE Thunderbolt DMA Firewire SBP-2 1394
Proprietà

ID articolo: 2516445 - Ultima revisione: 08/09/2012 09:42:00 - Revisione: 3.0

Windows 7 Service Pack 1, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Ultimate, Windows 7 Enterprise, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Service Pack 2, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Windows Vista Service Pack 2, Windows Vista Service Pack 1, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Hyper V, Windows Server 2012 Standard, Windows 8, Windows 8 Professional, Windows 8 Enterprise

  • kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445
Feedback
ows-ppe.net/common/oauth2/authorize?response_type=id_token&client_id=fdf9885b-dd37-42bf-82e5-c3129ef5a302&redirect_uri=https%3A%2F%2Fpreview.support.microsoft.com%2Fsilentauth&state=3870e1fd-5ff1-40e4-a02f-ce8effc38e36%7Cfdf9885b-dd37-42bf-82e5-c3129ef5a302&client-request-id=c67a4ad6-128c-44ec-97ab-7fcc6cf83ee2&x-client-SKU=Js&x-client-Ver=1.0.11&prompt=none&nonce=aca586f1-2d99-43ca-8ce0-6640d27ab16a">