現在オフラインです。再接続するためにインターネットの接続を待っています

BitLocker に対する 1394 DMA と Thunderbolt DMA の脅威を軽減するための SBP-2 ドライバーと Thunderbolt コントローラーのブロック

Windows Vista Service Pack 1 (SP1) のサポートは 2011 年 7 月 12 日に終了しました。Windows 用のセキュリティ更新プログラムを継続して入手するには、Windows Vista Service Pack 2 (SP2) を使用してください。詳細については、以下のマイクロソフト Web サイトを参照してください。Windows の一部バージョンのサポート終了のお知らせ
現象
コンピューターの電源が入っている場合やコンピューターがスタンバイ電力状態である場合、BitLocker で保護されたコンピューターには Direct Memory Access (DMA) 攻撃に対する脆弱性が存在することがあります。これには、デスクトップがロックされている場合が含まれます。

TPM 認証のみの BitLocker では、コンピューターはプリブート認証を行うことなく、電源オン状態になることができます。そのため、攻撃者は DMA 攻撃を実行できる場合があります。

このような構成では、攻撃者は、1394 ポートに接続された攻撃デバイスを使用し、SBP-2 ハードウェア ID をスプーフィングすることで、システム メモリの BitLocker 暗号化キーを検索できる場合があります。または、アクティブな Thunderbolt ポートからシステム メモリにアクセスして攻撃を実行できることもあります。

この資料は、以下のシステムを対象としています。
  • 電源オンのまま放置されているシステム。
  • スタンバイ電力状態のまま放置されているシステム。
  • TPM のみの BitLocker プロテクターを使用しているシステム。
原因
1394 Physical DMA

業界標準の 1394 コントローラー (OHCI 準拠) には、システム メモリにアクセスできる機能があります。この機能は、パフォーマンスの向上策として装備されています。この機能により、CPU とソフトウェアを迂回して、1394 デバイスとシステム メモリの間で大量のデータを直接転送することができます。既定では、1394 Physical DMA はすべてのバージョンの Windows で無効になっています。1394 Physical DMA を有効にするには、次のオプションを使用できます。
  • 管理者が 1394 Kernel Debugging を有効にする。
  • コンピューターに物理的にアクセスできるユーザーが、SBP-2 仕様に準拠する 1394 記憶装置を接続する。
BitLocker に対する 1394 DMA の脅威

BitLocker のシステム整合性チェックは、権限のない Kernel Debugging 状態の変更を防御します。ただし、攻撃者は 1394 ポートに攻撃デバイスを接続し、SBP-2 ハードウェア ID をスプーフィングすることができます。Windows で SBP-2 ハードウェア ID が検出された場合、SBP-2 ドライバー (sbp2port.sys) が読み込まれ、このドライバーは SBP-2 デバイスでの DMA の実行を許可するように指示されます。これにより、攻撃者はシステム メモリにアクセスし、BitLocker 暗号化キーを検索できるようになります。

Thunderbolt Physical DMA

Thunderbolt は、システム メモリに直接アクセスできる機能を備えた新しい外部バスです。この機能は、パフォーマンスの向上策として装備されています。この機能により、CPU とソフトウェアを迂回して、Thunderbolt デバイスとシステム メモリの間で大量のデータを直接転送することができます。Thunderbolt は、Windows のどのバージョンでもサポートされていませんが、それでも製造元がこの種類のポートを搭載する場合があります。

BitLocker に対する Thunderbolt の脅威

攻撃者は、特別な目的を持ったデバイスを Thunderbolt ポートに接続し、PCI Express バス経由で完全な直接メモリ アクセスを行うことができます。これにより、攻撃者はシステム メモリにアクセスし、BitLocker 暗号化キーを検索できる可能性があります。
解決方法
BitLocker の一部の構成は、この種の攻撃のリスクを軽減できます。コンピューターでスリープ モード (suspend to RAM) を使用しない場合は、TPM+PIN、TPM+USB および TPM+PIN+USB プロテクターにより DMA 攻撃の影響を軽減させることができます。組織で TPM のみのプロテクターを許可しているか、スリープ モードのコンピューターをサポートしている場合は、DMA 攻撃のリスクを軽減するために Windows SBP-2 ドライバーと Thunderbolt コントローラーをブロックすることをお勧めします。

この作業を実行する方法の詳細については、以下のマイクロソフト Web サイトを参照してください。

SBP-2 の軽減

前述の Web サイトで、「デバイス インストール用のグループ ポリシーの設定」の「これらのデバイス セットアップ クラスに一致するドライバーのインストールを防止する」を参照してください。

SBP-2 ドライブのプラグ アンド プレイ デバイス セットアップ クラスの GUID は以下のとおりです。
d48179be-ec20-11d1-b6b8-00c04fa372a7

Thunderbolt の軽減

重要 次の Thunderbolt の軽減策は、Windows 8 および Windows Server 2012 にのみ適用されます。「適用対象」に記載されている他のオペレーティング システムには適用されません。

前述の Web サイトで、「デバイス インストール用のグループ ポリシーの設定」の「これらのデバイス ID に一致するデバイスのインストールを防止する」を参照してください。

Thunderbolt コントローラーのプラグ アンド プレイ互換 ID は以下のとおりです。
PCI\CC_0C0A


注意事項
  • この軽減策の欠点は、外部ストレージ デバイスが 1394 ポートを使用して接続できなくなり、Thunderbolt ポートに接続されているすべての PCI Express デバイスが機能しなくなることです。USB と eSATA は広く普及しており、DisplayPort は通常 Thunderbolt が無効になっているときでも機能するので、これらの軽減策による悪影響は限定的です。
  • 使用中のハードウェアが Windows エンジニアリング ガイダンスに従っていない場合、コンピューターを起動し、Windows がハードウェアの制御を取得する前にこれらのポート上で DMA が有効になることがあります。これにより、システムが攻撃を受けやすくなり、この状態はこの回避策では軽減されません。
詳細
BitLocker に対する DMA の脅威の詳細については、次のマイクロソフト セキュリティ ブログを参照してください。BitLocker に対するコールド攻撃に関する軽減策の詳細については、次の Microsoft Integrity Team のブログを参照してください。
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE Thunderbolt DMA Firewire SBP-2 1394
注意 : これは、マイクロソフトのサポート組織内で直接作成された "緊急公開" の資料です。 この資料には、確認中の問題に関する現状ベースの情報が記載されています。 情報提供のスピードを優先するため、資料には誤植が含まれる可能性があり、予告なしに随時改定される場合があります。 その他の考慮事項については、使用条件を参照してください。
プロパティ

文書番号:2516445 - 最終更新日: 08/09/2012 09:42:00 - リビジョン: 3.0

Windows 7 Service Pack 1, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Ultimate, Windows 7 Enterprise, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Service Pack 2, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Windows Vista Service Pack 2, Windows Vista Service Pack 1, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Hyper V, Windows Server 2012 Standard, Windows 8, Windows 8 Professional, Windows 8 Enterprise

  • kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445
フィードバック