Blokowanie sterownika SBP-2 i kontrolerów Thunderbolt zmniejszenia zagrożeń DMA i Thunderbolt DMA 1394 dla funkcji BitLocker

Pomocy technicznej dla systemu Windows Vista Service Pack 1 (SP1) zakończył się dnia 12 lipca 2011. Aby w dalszym ciągu otrzymywać aktualizacje zabezpieczeń dla systemu Windows, upewnij się, że używasz systemu Windows Vista z dodatkiem Service Pack 2 (SP2). Aby uzyskać więcej informacji, przejdź do następującej witryny firmy Microsoft: Obsługa kończące się w niektórych wersjach systemu Windows.

Objawy

Komputer chroniony funkcją BitLocker może być narażony na ataki bezpośredniego dostępu do pamięci (DMA), gdy komputer jest włączony lub jest w stanie wstrzymania zasilania. Obejmuje to, gdy pulpit jest zablokowany.

Funkcja BitLocker z uwierzytelnianiem tylko moduł TPM umożliwia komputera do przechodzenia w stan włączenia bez potrzeby uwierzytelniania przed rozruchem. Osoba atakująca może być w związku z tym możliwe przeprowadzanie ataków DMA.

W tych konfiguracjach osoba atakująca może być można wyszukiwać klucze szyfrowania funkcji BitLocker w pamięci systemowej przez fałszowanie identyfikator sprzętu SBP-2 przy użyciu urządzenia atakującego jest podłączony do portu 1394. Alternatywnie aktywnego portu Thunderbolt umożliwia również dostęp do pamięci systemowej do podjęcia ataku. Należy zauważyć, że Thunderbolt 3 na nowe złącze USB typu C zawiera nowe funkcje zabezpieczeń, które można skonfigurować w celu ochrony przed atakami tego typu.

Ten artykuł dotyczy następujących systemów:
  • Systemy, które są pozostawione włączone
  • Systemów, które są pozostawiane w stanie wstrzymania zasilania
  • Systemy używające funkcja ochrony tylko moduł TPM funkcja BitLocker

Przyczyna

fizyczny dostęp DMA 1394

Przemysł standardowe kontrolery 1394 (zgodny z OHCI) zapewniają funkcjonalność, która umożliwia dostęp do pamięci systemowej. Ta funkcja jest dostępna jako wzrost wydajności. Umożliwia on duże ilości danych do transferu bezpośrednio między 1394 urządzenia i systemu pamięcią, z pominięciem Procesora i oprogramowania. Domyślnie 1394 fizyczny dostęp DMA jest wyłączona we wszystkich wersjach systemu Windows. Aby umożliwić fizyczny dostęp DMA 1394 są następujące opcje:
  • Administrator Włącza debugowanie jądra 1394.
  • Osobę, która ma fizyczny dostęp do komputera łączy urządzenie magazynujące 1394, który jest zgodny ze specyfikacją SBP-2.
1394 DMA zagrożenia dla funkcji BitLocker

Testy integralności systemu funkcja BitLocker chroni przed nieautoryzowanymi zmianami stanu debugowanie jądra. Jednak osoba atakująca może podłączyć urządzenie atakujące do portu 1394, a następnie sfałszować identyfikator sprzętu SBP-2. Kiedy system Windows wykryje identyfikator sprzętu SBP-2, ładuje sterownik SBP-2 (sbp2port.sys), a następnie nakazuje sterownikowi pozwalają na urządzeniu SBP-2 na dostęp DMA. Umożliwia osobie atakującej uzyskanie dostępu do pamięci systemowej i wyszukanie kluczy szyfrowania funkcji BitLocker.

Fizyczny dostęp DMA thunderbolt

Thunderbolt to nowy magistrali zewnętrznej, który ma funkcję, która pozwala na bezpośredni dostęp do pamięci systemowej. Ta funkcja jest dostępna jako wzrost wydajności. Umożliwia on duże ilości danych do transferu bezpośrednio między Thunderbolt urządzenia i systemu pamięcią, z pominięciem Procesora i oprogramowania. Thunderbolt nie jest obsługiwana w dowolnej wersji systemu Windows, ale producenci mogą uwzględnić ten port.

Thunderbolt zagrożeń dla funkcji BitLocker

Osoba atakująca może podłączyć się urządzenia specjalnego przeznaczenia do portu Thunderbolt i mieć pełny bezpośredni dostęp do pamięci za pośrednictwem magistrali PCI Express. Może to umożliwić osobie atakującej uzyskanie dostępu do pamięci systemowej i wyszukanie kluczy szyfrowania funkcji BitLocker. Należy zauważyć, że Thunderbolt 3 na nowe złącze USB typu C zawiera nowe funkcje zabezpieczeń, które mogą być konfigurowane do ochrony przed tego typu dostępu.

Rozwiązanie

Niektóre konfiguracje funkcji BitLocker można zmniejszyć ryzyko tego rodzaju ataków. Funkcje ochrony Moduł TPM i numer PIN, TPM + USB i moduł TPM + numer PIN + USB zmniejszyć efekt ataków DMA, gdy komputery nie należy używać trybu uśpienia (zawieszenie do RAM). Jeśli Twoja organizacja pozwala na funkcje ochrony tylko moduł TPM lub obsługuje komputery w trybie uśpienia, firma Microsoft zaleca blokowanie sterownika Windows SBP-2 i wszystkich kontrolerów Thunderbolt, aby zmniejszyć ryzyko ataków DMA.

Aby uzyskać więcej informacji na temat jak to zrobić przejdź do następującej witryny firmy Microsoft:

Łagodzenia SBP-2

Na wcześniej wspomniane witryny sieci Webzapoznaj się z sekcją "Zapobiegaj instalacji sterowników pasujących tych klas konfiguracji urządzeń" w obszarze "zasady grupy ustawienia dla urządzenia instalacji".

Poniżej przedstawiono typu Plug and Play klasy konfiguracji urządzeń identyfikatora GUID na dysk SBP-2:


d48179be-ec20-11d1-b6b8-00c04fa372a7

Ograniczania thunderbolt

Ważne Następujące ograniczenia zagrożenia Thunderbolt dotyczy tylko systemu Windows 8 i Windows Server 2012. Nie dotyczy ona żadnego z innych systemów operacyjnych, które są wymienione w sekcji "Informacje zawarte w tym artykule dotyczą".


Na wcześniej wspomniane witryny sieci Webmożna znaleźć w sekcji "Zapobiegaj instalacji urządzeń spełniające te identyfikatory urządzeń" w sekcji "zasady grupy ustawienia dla urządzenia instalacja".

Zgodny identyfikator Plug and Play dla kontrolera Thunderbolt jest następujące:
PCI\CC_0C0A


Uwagi

Więcej informacji

Aby uzyskać więcej informacji na temat zagrożeń DMA dla funkcji BitLocker zobacz następujące blogu Microsoft Security:
Aby uzyskać więcej informacji na temat czynników ograniczających zagrożenie dla ataków na zimno funkcji BitLocker zobacz w następującym blogu zespołu programu Microsoft integralności:
Właściwości

Identyfikator artykułu: 2516445 — ostatni przegląd: 15.02.2017 — zmiana: 2

Windows 7 Service Pack 1, Windows 7 Home Basic, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Professional, Windows 7 Ultimate, Windows 7 Ultimate, Windows 7 Enterprise, Windows 7 Enterprise, Windows 7 Home Basic, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Professional, Windows 7 Ultimate, Windows 7 Ultimate, Windows 7 Enterprise, Windows 7 Enterprise, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Datacenter, Windows Server 2008 Service Pack 2, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Standard, Windows Web Server 2008, Windows Web Server 2008, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Standard, Windows Web Server 2008, Windows Web Server 2008, Dodatek Service Pack 2 do systemu Windows Vista, Windows Vista Business, Windows Vista Business, Windows Vista Enterprise, Windows Vista Enterprise, Windows Vista Home Basic, Windows Vista Home Basic, Windows Vista Home Premium, Windows Vista Home Premium, Windows Vista Starter, Windows Vista Starter, Windows Vista Ultimate, Windows Vista Ultimate, Windows Vista Enterprise 64-bit edition, Windows Vista Enterprise 64-bit edition, Windows Vista Home Basic 64-bit edition, Windows Vista Home Basic 64-bit edition, Windows Vista Home Premium 64-bit edition, Windows Vista Home Premium 64-bit edition, Windows Vista Ultimate 64-bit edition, Windows Vista Ultimate 64-bit edition, Windows Vista Business 64-bit edition, Windows Vista Business 64-bit edition, Dodatek Service Pack 1 do systemu Windows Vista, Windows Vista Business, Windows Vista Business, Windows Vista Enterprise, Windows Vista Enterprise, Windows Vista Home Basic, Windows Vista Home Basic, Windows Vista Home Premium, Windows Vista Home Premium, Windows Vista Starter, Windows Vista Starter, Windows Vista Ultimate, Windows Vista Ultimate, Windows Vista Enterprise 64-bit edition, Windows Vista Enterprise 64-bit edition, Windows Vista Home Basic 64-bit edition, Windows Vista Home Basic 64-bit edition, Windows Vista Home Premium 64-bit edition, Windows Vista Home Premium 64-bit edition, Windows Vista Ultimate 64-bit edition, Windows Vista Ultimate 64-bit edition, Windows Vista Business 64-bit edition, Windows Vista Business 64-bit edition, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Microsoft Hyper-V Server 2012, Microsoft Hyper-V Server 2012, Microsoft Hyper-V Server 2012, Microsoft Hyper-V Server 2012, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows 8, Windows 8 Enterprise

Opinia