Het SBP-2-stuurprogramma en Thunderbolt-controllers blokkeren om 1394 DMA- en Thunderbolt DMA-bedreigingen voor BitLocker te verminderen

Van toepassing: Windows 7 Service Pack 1Windows 7 Home BasicWindows 7 Home Premium

De ondersteuning voor Windows Vista Service Pack 1 (SP1) is op 12 juli 2011 beëindigd. Zorg ervoor dat Windows Vista wordt uitgevoerd met Service Pack 2 (SP2) als u beveiligingsupdates voor Windows wilt blijven ontvangen. Ga naar de volgende Microsoft-website voor meer informatie: Ondersteuning voor bepaalde versies van Windows wordt beëindigd.

Symptomen


Een met BitLocker beveiligde computer kan kwetsbaar zijn voor DMA-aanvallen (Direct Memory Access) wanneer de computer is ingeschakeld of in de stand-bystand staat. Dit geldt ook wanneer het bureaublad is vergrendeld.

Bij BitLocker-beveiliging met uitsluitend TPM-verificatie kan een computer zonder Pre-boot-verificatie worden ingeschakeld. Daardoor kan een aanvaller DMA-aanvallen uitvoeren.

Bij deze configuratie kan een aanvaller BitLocker-coderingssleutels in het systeemgeheugen opsporen door de SBP-2-hardware-id te spoofen via een aanvallend apparaat dat op een 1394-poort is aangesloten. Een actieve Thunderbolt-poort biedt ook toegang tot het systeemgeheugen, waar een aanval kan worden uitgevoerd.

Dit artikel is van toepassing op de volgende systemen:
  • Systemen die ingeschakeld zijn
  • Systemen die in de stand-bystand staan
  • Systemen die gebruikmaken van Bitlocker-beveiliging met uitsluitend TPM

Oorzaak


1394 Physical DMA

Industriestandaard 1394-controllers (OHCI-compatibel) bieden functionaliteit waarmee toegang tot het systeemgeheugen kan worden verkregen. Deze functionaliteit wordt geleverd om de prestaties te verbeteren. Grote hoeveelheden gegevens kunnen er direct mee van een 1394-apparaat naar het systeemgeheugen en vice versa worden overgebracht, zonder CPU of software te gebruiken. 1394 Physical DMA is in alle versies van Windows standaard uitgeschakeld. De volgende opties zijn beschikbaar om 1394 Physical DMA in te schakelen:
  • Een beheerder schakelt 1394-kernel-foutopsporing in.
  • Iemand met fysieke toegang tot de computer sluit een 1394-opslagapparaat aan dat voldoet aan de SBP-2-specificatie.
1394 DMA-bedreigingen voor BitLocker

Systeemintegriteitscontroles van BitLocker beschermen tegen onbevoegd wijzigen van een kernel-foutopsporingsstatus. Een aanvaller kan echter een aanvallend apparaat aansluiten op een 1394-poort en vervolgens een SBP-2-hardware-id spoofen. Als in Windows een SBP-2-hardware-id wordt gedetecteerd, wordt het SPB-2-stuurprogramma (sbp2port.sys) geladen met de instructie DMA toe te staan voor het SBP-2-apparaat. Zo kan een aanvaller toegang krijgen tot het systeemgeheugen en BitLocker-coderingssleutels opzoeken.

Thunderbolt Physical DMA

Thunderbolt is een nieuwe externe bus die beschikt over functionaliteit waarmee directe toegang tot het systeemgeheugen kan worden verkregen. Deze functionaliteit wordt geleverd om de prestaties te verbeteren. Grote hoeveelheden gegevens kunnen er direct mee van een Thunderbolt-apparaat naar het systeemgeheugen en vice versa worden overgebracht, zonder CPU of software te gebruiken. Thunderbolt wordt in geen enkele Windows-versie ondersteund, maar fabrikanten kunnen wel besluiten dit poorttype op te nemen.

Thunderbolt-bedreigingen voor BitLocker

Een aanvaller kan een speciaal ontworpen apparaat op een Thunderbolt-poort aansluiten en via de PCI Express-bus volledige, directe toegang tot het systeemgeheugen krijgen en naar BitLocker-coderingssleutels zoeken.

Oplossing


In bepaalde BitLocker-configuraties kan het risico van dit soort aanvallen worden beperkt. Bij beveiliging met TPM plus PIN, TPM plus USB en TPM plus PIN en USB worden de gevolgen van DMA-aanvallen beperkt wanneer een computer niet in de slaapstand staat. Als in uw organisatie gebruik wordt gemaakt van beveiliging met uitsluitend TPM of als computers in de slaapstand worden gezet, raden we u aan het Windows SBP-2-stuurprogramma en alle Thunderbolt-controllers te blokkeren om het risico op DMA-aanvallen te verkleinen.

Ga naar de volgende Microsoft-website voor meer informatie over hoe u dit kunt doen:

Oplossing voor SBP-2

Ga op de bovenstaande website naar de sectie Prevent installation of drivers matching these device setup classes onder Group Policy Settings for Device Installation.

Hier volgt de Setup-klasse-GUID van een Plug en Play-apparaat voor een SBP-2-station:


d48179be-ec20-11d1-b6b8-00c04fa372a7

Oplossing voor Thunderbolt

Belangrijk De volgende oplossing voor Thunderbolt is alleen van toepassing op Windows 8 en op Windows Server 2012. De oplossing is niet van toepassing op de andere besturingssystemen die worden vermeld in de sectie Van toepassing op.


Ga op de bovenstaande website naar de sectie Prevent installation of devices that match these device IDs onder Group Policy Settings for Device Installation.

Hier volgt de compatibele Plug en Play-id voor een Thunderbolt-controller:
PCI\CC_0C0A


Opmerkingen

Meer informatie


Ga naar het volgende Microsoft Security-blog voor meer informatie over DMA-bedreigingen voor BitLocker: Ga naar het volgende Microsoft Integrity Team-blog voor meer informatie over oplossingen voor aanvallen op BitLocker: