Il supporto per Windows Vista Service Pack 1 (SP1) è terminato il 12 luglio 2011. Per continuare a ricevere gli aggiornamenti della sicurezza per Windows, utilizzare Windows Vista con Service Pack 2 (SP2). Per ulteriori informazioni, fare riferimento alla pagina Web Microsoft riportata di seguito: Per alcune versioni di Windows il servizio di supporto non è più disponibile.
Sintomi
Un computer protetto da BitLocker può essere vulnerabile ad attacchi al DMA quando lo stato di alimentazione risulta attivo o in standby. Ciò si verifica quando il desktop è bloccato.
BitLocker, unicamente con l'autenticazione TPM, consente a un computer di passare allo stato di alimentazione attivo senza alcuna autenticazione pre-boot. Di conseguenza, un utente malintenzionato può essere in grado di eseguire attacchi al DMA.
Con queste configurazioni, un utente malintenzionato può essere in grado di trovare le chiavi di crittografia di BitLocker nella memoria di sistema, simulando l'ID hardware SBP-2 e utilizzando un dispositivo di attacco collegato a una porta 1394. In alternativa, anche una porta Thunderbolt attiva consente di accedere alla memoria di sistema per eseguire un attacco.
Le informazioni riportate in questo articolo sono valide per i seguenti sistemi:
-
Sistemi lasciati in stato di alimentazione attiva
-
Sistemi lasciati in stato di alimentazione di standby
-
Sistemi che utilizzano unicamente la protezione BitLocker TPM
Cause
DMA fisico 1394
I controller 1394 (compatibili con OHCI) standard del settore forniscono la funzionalità che permette di accedere alla memoria di sistema. Questa funzionalità viene fornita per migliorare le prestazioni. Abilita il trasferimento diretto di grandi quantità di dati tra un dispositivo 1394 e la memoria di sistema, evitando la CPU e il software. Per impostazione predefinita, il DMA fisico 1394 è disattivato in tutte le versioni di Windows. Per attivare il DMA fisico 1394 sono disponibili le seguenti opzioni:
-
Un amministratore consente il debug del kernel 1394.
-
Un altro utente con accesso fisico a un computer collega un dispositivo di archiviazione 1394 conforme con le specifiche SBP-2.
Minacce al DMA 1394 per BitLocker
I controlli di integrità di sistema di BitLocker proteggono contro modifiche non autorizzate dello stato di debug del kernel. È tuttavia possibile che un utente malintenzionato colleghi un dispositivo di attacco a una porta 1394 e poi ignori l'ID hardware SBP-2. Se Windows rileva l'ID hardware SBP-2, carica l'unità SBP-2 (sbp2port.sys) e indica all'unità di consentire l'esecuzione del DMA per il dispositivo SBP-2. In questo modo un utente malintenzionato accede alla memoria di sistema e trova le chiavi di crittografia di BitLocker.
DMA fisico ThunderBolt
Thunderbolt è un nuovo bus esterno che dispone di funzionalità che consentono accesso diretto alla memoria di sistema. Questa funzionalità viene fornita per migliorare le prestazioni. Abilita il trasferimento diretto di grandi quantità di dati tra un dispositivo Thunderbolt e la memoria di sistema, evitando la CPU e il software. Thunderbolt non è supportato in nessuna versione di Windows ma i produttori possono comunque decidere di includere tale tipo di porta.
Minacce ThunderBolt per BitLocker
Un utente malintenzionato può connettere un dispositivo per scopi speciali a una porta Thunderbolt e ottenere pieno accesso diretto alla memoria via bus PCI Express. In questo modo l'utente malintenzionato può accedere alla memoria del sistema e cercare le chiavi di crittografia BitLocker.
Risoluzione
Alcune configurazioni di BitLocker possono ridurre il rischio di questo tipo di attacchi. Le protezioni TPM+PIN, TPM+USB e TPM+PIN+USB riducono l'effetto degli attacchi al DMA mentre i computer non utilizzano la modalità di sospensione (sospensione in memoria RAM). Se l'organizzazione consente unicamente protezioni TPM o supporta computer in modalità di sospensione, si consiglia di bloccare l'unità SBP-2 in Windows e tutti i controller Thunderbolt al fine di ridurre il rischio di attacchi al DMA.
Per ulteriori informazioni su tale operazione, fare riferimento alla pagina Web Microsoft riportata di seguito:
Guida dettagliata all'installazione del dispositivo di controllo utilizzando criteri di gruppo
Attenuazione SBP-2
Sul sito Web menzionato in precedenza, fare riferimento alla sezione "Prevent installation of drivers matching these device setup classes" in "Group Policy Settings for Device Installation".
La seguente è la classe Plug and Play device setup GUID per un'unità SBP-2:
d48179be-ec20-11d1-b6b8-00c04fa372a7
Attenuazione di Thunderbolt
Importante La seguente attenuazione di Thunderbolt viene applicata esclusivamente a Windows 8 e Windows Server 2012. Non viene applicata a tutti gli altri sistemi operativi menzionati nella sezione "Le informazioni in questo articolo si applicano a".
Sul sito Web menzionato in precedenza, fare riferimento alla sezione "Prevent installation of devices that match these device IDs" in "Group Policy Settings for Device Installation".
Di seguito è riportato l'ID compatibile Plug and Play per un controller di Thunderbolt:
PCI\CC_0C0A
Note
Informazioni
Per ulteriori informazioni sulle minacce al DMA per BitLocker, visitare il seguente blog sulla sicurezza Microsoft:
Attestazioni su BitLocker di Windows Per ulteriori informazioni sulle attenuazioni degli attacchi contro BitLocker, visitare il seguente blog del Microsoft Integrity Team:
Protezione di BitLocker da attacchi durante l'avvio a freddo
