En BitLocker-beskyttet datamaskin kan være utsatt for DMA-angrep når datamaskinen blir slått på eller er i ventemodus, også når skrivebordet er låst.
BitLocker med kun TPM-godkjenning tillater at datamaskinen går over i oppstartstilstand uten godkjenning forut for oppstart. Dermed er det mulig å utføre DMA-angrep.
I disse konfigurasjonene kan en angriper søke etter BitLocker-krypteringsnøkler i systemminnet ved å forfalske maskinvare-ID-en for SBP-2 ved hjelp av en angrepsenhet som er koblet til en 1394-port.
Denne artikkelen gjelder for følgende systemer:
-
Systemer som står på.
-
Systemer som er i ventemodus.
-
Systemer som bruker BitLocker-beskyttelsen for kun TPM.
Symptom
1394-fysisk DMA
Bransjestandardiserte 1394-kontrollere (OHCI-kompatible) inneholder funksjonalitet som gir tilgang til systemminnet. Denne funksjonaliteten sørger for forbedret ytelse. Den gjør det mulig å overføre store datamengder direkte mellom en 1394-enhet og systemminnet ved å omgå prosessor og programvare. Som standard er 1394-fysisk DMA deaktivert i alle versjoner av Windows. Det finnes to muligheter for å aktivere 1394-fysisk DMA:
-
Administrator aktiverer 1394-kjernefeilsøking.
-
Noen med fysisk tilgang til datamaskinen tilkobler en 1394-lagringsenhet som samsvarer med SBP-2-spesifikasjonen
1394 DMA-trusler for BitLocker
Integritetskontroller for BitLocker-systemet beskytter mot uautoriserte endringer av status for kjernefeilsøking. En angriper kan imidlertid koble en angrepsenhet til en 1394-port, og deretter forfalske maskinvare-ID-en til SBP-2. Når Windows oppdager maskinvare-ID-en til SBP-2, laster den inn SBP-2-driveren (sbp2port.sys), og deretter instruerer den driveren til å tillate at SBP-2-enheten utfører DMA. Dermed kan en angriper få tilgang til systemminnet og søke etter BitLocker-krypteringsnøkler.
Årsak
Det finnes konfigurasjoner av BitLocker som kan redusere denne risikoen. Beskyttelsene TPM+PIN, TPM+USB og TPM+PIN+USB reduserer virkningen av DMA-angrep når datamaskinen ikke er i hvilemodus (deaktiverer RAM). Hvis organisasjonen tillater beskyttelser for kun TPM eller støtter datamaskiner i hvilemodus, anbefaler vi at du blokkerer Windows SBP-2-driveren for å redusere risikoen for 1394 DMA-angrep.
Hvis du vil ha mer informasjon om hvordan du gjør dette, kan du besøke Microsofts webside nedenfor, og deretter ser du delen Forhindre installasjon av drivere som samsvarer med disse enhetsinstallasjonsklassene under delen Gruppepolicyinnstillinger for enhetsinstallasjon:
Trinnvis veiledning for å kontrollere enhetsinstallasjon ved hjelp av gruppepolicy
Enhetsklasse-ID-en for en SBP-2-driver er d48179be-ec20-11d1-b6b8-00c04fa372a7.
Obs! Ulempen med denne reduksjonen er at eksterne lagringsenheter ikke lenger kan tilkobles via 1394-porten. Siden USB og eSATA er så utbredte, bør ulempen med denne reduksjonen være begrenset.
Løsning
Hvis du vil ha mer informasjon om DMA-trusler for BitLocker, kan du gå til følgende Microsoft-webområde:
Krav for Windows BitLocker
Hvis du vil ha mer informasjon om reduksjoner for direkte angrep mot BitLocker, kan du gå til følgende Microsoft-webområde: