Blokování ovladače SBP-2 a řadičů Thunderbolt s cílem omezit ohrožení DMA standardu 1394 a Thunderbolt nástroje BitLocker

Příznaky

Počítač chráněný nástrojem BitLocker může být ohrožen útoky DMA (Direct Memory Access) v případě, že počítač je zapnut nebo je v úsporném režimu. To zahrnuje i situaci, kdy je plocha počítače uzamčena.

Nástroj BitLocker, který využívá pouze ověřování TPM, umožňuje, aby počítač byl zapnut, aniž by došlo k ověření před spuštěním. Proto útočník může provést útoky DMA.

V těchto konfiguracích útočník může v paměti systému vyhledat šifrovací klíče BitLocker, a to zfalšováním ID hardwaru SBP-2 prostřednictvím útočícího zařízení, které je připojeno k portu standardu 1394. Aktivní port Thunderbolt rovněž poskytuje přístup k systémové paměti a umožňuje provést útok.

Tento článek se týká následujících systémů:

• Systémy, které jsou ponechány zapnuté.

• Systémy, které jsou ponechány v úsporném režimu.

• Systémy, které používají nástroj BitLocker s ověřováním pouze TPM.

Příčina

Fyzický přístup DMA pomocí standardu 1394

Řadiče standardu 1394 (kompatibilní se standardem OHCI) poskytují funkce umožňující přístup k paměti systému. Tyto funkce jsou poskytovány v rámci vylepšení výkonu. Umožňují rozsáhlé přenosy dat přímo mezi zařízením standardu 1394 a systémovou pamětí, a obcházejí tak procesor a software. Ve výchozím nastavení je fyzický přístup DMA pomocí standardu 1394 ve všech verzích systému Windows zablokován. Pro povolení fyzického přístupu DMA pomocí standardu 1394 jsou k dispozici následující možnosti:

• Správce povolí ladění jádra pomocí standardu 1394.

• Uživatel s fyzickým přístupem k počítači připojí paměťové zařízení standardu 1394, které vyhovuje specifikaci SBP-2.

Ohrožení DMA standardu 1394 nástroje BitLocker

Kontroly integrity systému nástroje BitLocker chrání před neoprávněnými změnami stavu ladění jádra. Útočník však může připojit útočící zařízení k portu standardu 1394 a pak zfalšovat ID hardwaru SBP-2. Systém Windows po detekci ID hardwaru SBP-2 načte ovladač SBP-2 (sbp2port.sys) a pak jej instruuje k tomu, aby zařízení SBP-2 umožnil přímý přístup k paměti. To útočníkovi umožní získat přístup k systémové paměti a vyhledat šifrovací klíče BitLocker.

Fyzický přístup DMA pomocí standardu Thunderbolt

Thunderbolt je nová externí sběrnice, jejíž funkce umožňují přímý přístup k systémové paměti. Tyto funkce jsou poskytovány v rámci vylepšení výkonu. Umožňují rozsáhlé přenosy dat přímo mezi zařízením standardu Thunderbolt a systémovou pamětí, a obcházejí tak procesor a software. Standard Thunderbolt není podporován žádnou verzí systému Windows, ale výrobci se přesto mohou rozhodnout pro zahrnutí tohoto typu portu.

Ohrožení standardu Thunderbolt nástroje BitLocker

Útočník může připojit k portu Thunderbolt speciální zařízení a získat tak plný přímý přístup do paměti prostřednictvím sběrnice PCI Express. To by útočníkovi mohlo umožnit získat přístup k systémové paměti a vyhledat šifrovací klíče nástroje BitLocker.

Řešení

Některé konfigurace nástroje BitLocker mohou riziko tohoto typu útoku omezit. Ochrany TPM+PIN, TPM+USB a TPM+PIN+USB omezují vliv útoků DMA, pokud počítače nepoužívají režim spánku (pozastavení s uložením do paměti RAM). Pokud vaše organizace připouští pouze ochrany TPM nebo podporuje počítače v režimu spánku, doporučujeme omezit rizika útoků DMA blokováním ovladače SBP-2 systému Windows a všech řadičů Thunderbolt.

Další informace o postupu naleznete na následujícím webu společnosti Microsoft:

Podrobný návod pro kontrolu instalace zařízení pomocí zásad skupiny

Další informace

Další informace o ohroženích DMA nástroje BitLocker naleznete na následujícím blogu zabezpečení společnosti Microsoft:

Nároky nástroje Windows BitLockerDalší informace o opatřeních při útocích na neaktivní počítač proti nástroji BitLocker naleznete na následujícím blogu týmu integrity společnosti Microsoft:

Ochrana nástroje BitLocker před útoky na neaktivní počítač