Blokowanie sterownika SBP-2 i kontrolerów Thunderbolt w celu zminimalizowania zagrożeń dla funkcji BitLocker ze strony ataków DMA przez porty 1394 i Thunderbolt

Dotyczy: Windows 7 Service Pack 1Windows 7 Home BasicWindows 7 Home Premium

Świadczenie pomocy technicznej dla systemu Windows Vista z dodatkiem Service Pack 1 (SP1) zakończono 12 lipca 2011. Aby w dalszym ciągu otrzymywać aktualizacje zabezpieczeń dla systemu Windows, należy korzystać z systemu Windows Vista z dodatkiem Service Pack 2 (SP2). Aby uzyskać więcej informacji, odwiedź następującą witrynę firmy Microsoft w sieci Web: Wkrótce zostanie zakończone świadczenie pomocy technicznej dla niektórych wersji systemu Windows.

Symptomy


Komputer chroniony funkcją BitLocker może być podatny na ataki DMA (Direct Memory Access), gdy jest włączony lub w trybie wstrzymania. Dotyczy to także sytuacji, gdy pulpit jest zablokowany.

Funkcja BitLocker z uwierzytelnianiem wyłącznie za pomocą modułu TPM pozwala komputerowi na przejście w stan włączenia bez przeprowadzania jakiegokolwiek uwierzytelniania przed rozruchem. Z tego powodu osoba atakująca może być w stanie przeprowadzić ataki DMA.

Gdy używana jest taka konfiguracja, osoba atakująca może być w stanie wyszukać klucze szyfrowania funkcji BitLocker w pamięci systemowej, fałszując identyfikator sprzętu SBP-2 przez użycie urządzenia atakującego podłączonego do portu 1394. Dostęp do pamięci systemowej osoba atakująca może też uzyskać przez aktywny port Thunderbolt.

Ten artykuł dotyczy następujących systemów:
  • Systemów, które są pozostawiane włączone.
  • Systemów, które są pozostawiane w stanie wstrzymania.
  • Systemów, które są chronione funkcją BitLocker wyłącznie z modułem TPM.

Przyczyna


Fizyczny dostęp DMA przez port 1394

Kontrolery w standardzie branżowym 1394 (zgodne ze standardem OHCI) udostępniają funkcję zezwalającą na dostęp do pamięci systemowej. Ta funkcja w zamierzeniu ma służyć poprawie wydajności. Pozwala na transfer dużych ilości danych bezpośrednio między urządzeniem 1394 a pamięcią systemową, z pominięciem procesora i oprogramowania. Domyślnie fizyczny dostęp DMA przez port 1394 jest wyłączony we wszystkich wersjach systemu Windows. Oto dostępne opcje włączania fizycznego dostępu DMA przez port 1394:
  • Administrator włącza debugowanie jądra przez port 1394.
  • Ktoś z fizycznym dostępem do komputera podłącza urządzenie magazynujące 1394, które jest zgodne ze specyfikacją SBP-2.
Zagrożenia dla funkcji BitLocker ze strony ataków DMA przez port 1394

Kontrole integralności systemu funkcji BitLocker chronią przed nieautoryzowanymi zmianami stanu debugowania jądra. Osoba atakująca może jednak podłączyć urządzenie atakujące do portu 1394, a następnie sfałszować identyfikator sprzętu SBP-2. Gdy system Windows wykryje identyfikator sprzętu SBP-2, załaduje sterownik SBP-2 (sbp2port.sys), a następnie wyda sterownikowi instrukcje zezwolenia urządzeniu SBP-2 na dostęp DMA. To pozwoli osobie atakującej na uzyskanie dostępu do pamięci systemowej i wyszukanie kluczy szyfrowania funkcji BitLocker.

Fizyczny dostęp DMA przez port Thunderbolt

Thunderbolt to nowa magistrala zewnętrzna z funkcją zezwalającą na dostęp bezpośredni do pamięci systemowej. Ta funkcja w zamierzeniu ma służyć poprawie wydajności. Pozwala na transfer dużych ilości danych bezpośrednio między urządzeniem Thunderbolt a pamięcią systemową, z pominięciem procesora i oprogramowania. Technologia Thunderbolt nie jest obsługiwana w żadnej wersji systemu Windows, ale producenci mogą umieszczać tego typu porty w komputerach.

Zagrożenia dla funkcji BitLocker ze strony ataków przez port Thunderbolt

Osoba atakująca może podłączyć do portu Thunderbolt urządzenie specjalnego przeznaczenia, aby w ten sposób uzyskać pełny dostęp bezpośredni do pamięci przez magistralę PCI Express. To pozwoli osobie atakującej na uzyskanie dostępu do pamięci systemowej i wyszukanie kluczy szyfrowania funkcji BitLocker.

Rozwiązanie


Niektóre konfiguracje funkcji BitLocker zmniejszają ryzyko wystąpienia tego rodzaju ataku. Moduły chroniące TPM+PIN, TPM+USB i TPM+PIN+USB zmniejszają efekty ataków DMA, gdy komputer nie jest przełączany w stan uśpienia (wstrzymania w pamięci RAM). Jeśli w organizacji są dozwolone same moduły TPM lub komputery są przełączane w stan uśpienia, zaleca się zablokowanie sterownika SBP-2 systemu Windows i wszystkich kontrolerów Thunderbolt w celu zmniejszenia ryzyka wystąpienia ataków DMA.

Aby uzyskać więcej informacji o tym, jak to zrobić, odwiedź następującą witrynę firmy Microsoft w sieci Web:

Neutralizowanie zagrożeń związanych z urządzeniami SBP-2

W wymienionej wcześniej witrynie sieci Web w obszarze poświęconym ustawieniom zasad grupy dotyczącym instalacji urządzeń (Group Policy Settings for Device Installation) należy skorzystać z sekcji z opisem uniemożliwiania instalacji sterowników zgodnych z podanymi klasami instalacji urządzeń (Prevent installation of drivers matching these device setup classes).

Identyfikator GUID klasy instalacji urządzenia Plug and Play dla stacji dysków SBP-2:


d48179be-ec20-11d1-b6b8-00c04fa372a7

Neutralizowanie zagrożeń związanych z urządzeniami Thunderbolt

Ważne Poniższe zasady neutralizowania zagrożeń związanych z urządzeniami Thunderbolt dotyczą tylko systemów Windows 8 i Windows Server 2012. Nie dotyczą żadnych innych systemów operacyjnych wymienionych w sekcji „Informacje zawarte w tym artykule dotyczą”.

W wymienionej wcześniej witrynie sieci Web w obszarze poświęconym ustawieniom zasad grupy dotyczącym instalacji urządzeń (Group Policy Settings for Device Installation) należy skorzystać z sekcji z opisem uniemożliwiania instalacji urządzeń zgodnych z podanymi identyfikatorami urządzeń (Prevent installation of devices that match these device IDs).

Identyfikator zgodny z technologią Plug and Play dla kontrolera Thunderbolt:
PCI\CC_0C0A


Uwagi

Więcej informacji


Aby uzyskać więcej informacji o zagrożeniach dla funkcji BitLocker wynikających z ataków DMA, odwiedź następujący blog firmy Microsoft poświęcony zabezpieczeniom: Aby uzyskać więcej informacji o tym, jak neutralizować zimne ataki na funkcję BitLocker, odwiedź następujący blog zespołu firmy Microsoft ds. integralności: