Jesteś obecnie w trybie offline. Czekamy na ponowne połączenie z Internetem.

Blokowanie sterownika SBP-2 i kontrolerów Thunderbolt w celu zminimalizowania zagrożeń dla funkcji BitLocker ze strony ataków DMA przez porty 1394 i Thunderbolt

Świadczenie pomocy technicznej dla systemu Windows Vista z dodatkiem Service Pack 1 (SP1) zakończono 12 lipca 2011. Aby w dalszym ciągu otrzymywać aktualizacje zabezpieczeń dla systemu Windows, należy korzystać z systemu Windows Vista z dodatkiem Service Pack 2 (SP2). Aby uzyskać więcej informacji, odwiedź następującą witrynę firmy Microsoft w sieci Web: Wkrótce zostanie zakończone świadczenie pomocy technicznej dla niektórych wersji systemu Windows.
Symptomy
Komputer chroniony funkcją BitLocker może być podatny na ataki DMA (Direct Memory Access), gdy jest włączony lub w trybie wstrzymania. Dotyczy to także sytuacji, gdy pulpit jest zablokowany.

Funkcja BitLocker z uwierzytelnianiem wyłącznie za pomocą modułu TPM pozwala komputerowi na przejście w stan włączenia bez przeprowadzania jakiegokolwiek uwierzytelniania przed rozruchem. Z tego powodu osoba atakująca może być w stanie przeprowadzić ataki DMA.

Gdy używana jest taka konfiguracja, osoba atakująca może być w stanie wyszukać klucze szyfrowania funkcji BitLocker w pamięci systemowej, fałszując identyfikator sprzętu SBP-2 przez użycie urządzenia atakującego podłączonego do portu 1394. Dostęp do pamięci systemowej osoba atakująca może też uzyskać przez aktywny port Thunderbolt.

Ten artykuł dotyczy następujących systemów:
  • Systemów, które są pozostawiane włączone.
  • Systemów, które są pozostawiane w stanie wstrzymania.
  • Systemów, które są chronione funkcją BitLocker wyłącznie z modułem TPM.
Przyczyna
Fizyczny dostęp DMA przez port 1394

Kontrolery w standardzie branżowym 1394 (zgodne ze standardem OHCI) udostępniają funkcję zezwalającą na dostęp do pamięci systemowej. Ta funkcja w zamierzeniu ma służyć poprawie wydajności. Pozwala na transfer dużych ilości danych bezpośrednio między urządzeniem 1394 a pamięcią systemową, z pominięciem procesora i oprogramowania. Domyślnie fizyczny dostęp DMA przez port 1394 jest wyłączony we wszystkich wersjach systemu Windows. Oto dostępne opcje włączania fizycznego dostępu DMA przez port 1394:
  • Administrator włącza debugowanie jądra przez port 1394.
  • Ktoś z fizycznym dostępem do komputera podłącza urządzenie magazynujące 1394, które jest zgodne ze specyfikacją SBP-2.
Zagrożenia dla funkcji BitLocker ze strony ataków DMA przez port 1394

Kontrole integralności systemu funkcji BitLocker chronią przed nieautoryzowanymi zmianami stanu debugowania jądra. Osoba atakująca może jednak podłączyć urządzenie atakujące do portu 1394, a następnie sfałszować identyfikator sprzętu SBP-2. Gdy system Windows wykryje identyfikator sprzętu SBP-2, załaduje sterownik SBP-2 (sbp2port.sys), a następnie wyda sterownikowi instrukcje zezwolenia urządzeniu SBP-2 na dostęp DMA. To pozwoli osobie atakującej na uzyskanie dostępu do pamięci systemowej i wyszukanie kluczy szyfrowania funkcji BitLocker.

Fizyczny dostęp DMA przez port Thunderbolt

Thunderbolt to nowa magistrala zewnętrzna z funkcją zezwalającą na dostęp bezpośredni do pamięci systemowej. Ta funkcja w zamierzeniu ma służyć poprawie wydajności. Pozwala na transfer dużych ilości danych bezpośrednio między urządzeniem Thunderbolt a pamięcią systemową, z pominięciem procesora i oprogramowania. Technologia Thunderbolt nie jest obsługiwana w żadnej wersji systemu Windows, ale producenci mogą umieszczać tego typu porty w komputerach.

Zagrożenia dla funkcji BitLocker ze strony ataków przez port Thunderbolt

Osoba atakująca może podłączyć do portu Thunderbolt urządzenie specjalnego przeznaczenia, aby w ten sposób uzyskać pełny dostęp bezpośredni do pamięci przez magistralę PCI Express. To pozwoli osobie atakującej na uzyskanie dostępu do pamięci systemowej i wyszukanie kluczy szyfrowania funkcji BitLocker.
Rozwiązanie
Niektóre konfiguracje funkcji BitLocker zmniejszają ryzyko wystąpienia tego rodzaju ataku. Moduły chroniące TPM+PIN, TPM+USB i TPM+PIN+USB zmniejszają efekty ataków DMA, gdy komputer nie jest przełączany w stan uśpienia (wstrzymania w pamięci RAM). Jeśli w organizacji są dozwolone same moduły TPM lub komputery są przełączane w stan uśpienia, zaleca się zablokowanie sterownika SBP-2 systemu Windows i wszystkich kontrolerów Thunderbolt w celu zmniejszenia ryzyka wystąpienia ataków DMA.

Aby uzyskać więcej informacji o tym, jak to zrobić, odwiedź następującą witrynę firmy Microsoft w sieci Web:

Neutralizowanie zagrożeń związanych z urządzeniami SBP-2

W wymienionej wcześniej witrynie sieci Web w obszarze poświęconym ustawieniom zasad grupy dotyczącym instalacji urządzeń (Group Policy Settings for Device Installation) należy skorzystać z sekcji z opisem uniemożliwiania instalacji sterowników zgodnych z podanymi klasami instalacji urządzeń (Prevent installation of drivers matching these device setup classes).

Identyfikator GUID klasy instalacji urządzenia Plug and Play dla stacji dysków SBP-2:
d48179be-ec20-11d1-b6b8-00c04fa372a7

Neutralizowanie zagrożeń związanych z urządzeniami Thunderbolt

Ważne Poniższe zasady neutralizowania zagrożeń związanych z urządzeniami Thunderbolt dotyczą tylko systemów Windows 8 i Windows Server 2012. Nie dotyczą żadnych innych systemów operacyjnych wymienionych w sekcji „Informacje zawarte w tym artykule dotyczą”.

W wymienionej wcześniej witrynie sieci Web w obszarze poświęconym ustawieniom zasad grupy dotyczącym instalacji urządzeń (Group Policy Settings for Device Installation) należy skorzystać z sekcji z opisem uniemożliwiania instalacji urządzeń zgodnych z podanymi identyfikatorami urządzeń (Prevent installation of devices that match these device IDs).

Identyfikator zgodny z technologią Plug and Play dla kontrolera Thunderbolt:
PCI\CC_0C0A


Uwagi
  • Wadą takiego rozwiązania jest fakt, że nie będzie już można podłączać zewnętrznych urządzeń magazynujących przez port 1394 i że nie będą już działać żadne urządzenia PCI Express podłączane przez port Thunderbolt. Ponieważ w olbrzymiej większości w użyciu są urządzenia podłączane przez porty USB i eSATA, a interfejs DisplayPort często działa nawet przy wyłączonym porcie Thunderbolt, negatywne skutki tych rozwiązań neutralizowania zagrożeń dotyczą niewielkiej grupy użytkowników.
  • Jeśli używany sprzęt odbiega od bieżących wytycznych dotyczących opracowywania produktów dla systemu Windows, może włączać dostęp DMA na tych portach po uruchomieniu komputera, zanim system Windows przejmie kontrolę nad sprzętem. W takiej sytuacji, system może być zagrożony, i tego zagrożenia nie można wyeliminować, stosując podane obejście.
Więcej informacji
Aby uzyskać więcej informacji o zagrożeniach dla funkcji BitLocker wynikających z ataków DMA, odwiedź następujący blog firmy Microsoft poświęcony zabezpieczeniom: Aby uzyskać więcej informacji o tym, jak neutralizować zimne ataki na funkcję BitLocker, odwiedź następujący blog zespołu firmy Microsoft ds. integralności:
aktualizacja poprawka_zabezpieczeń aktualizacja_zabezpieczeń zabezpieczenia usterka luka złośliwy atakujący program_wykorzystujący_luki rejestr nieuwierzytelniony bufor przekroczenie przepełnienie specjalnie_uformowany zakres specjalnie_przygotowany odmowa usługi DoS TSE Thunderbolt DMA Firewire SBP-2 1394
Uwaga: Niniejszy artykuł, przeznaczony do „SZYBKIEJ PUBLIKACJI”, został utworzony bezpośrednio przez organizację pomocy technicznej firmy Microsoft. Zawarte w nim informacje są udostępniane „w stanie takim, w jakim są” w odpowiedzi na pojawiające się problemy. W wyniku przyspieszonego trybu udostępniania materiały mogą zawierać błędy typograficzne i mogą zostać poprawione w dowolnym momencie bez uprzedzenia. Więcej informacji można znaleźć w Warunkach użytkowania.
Właściwości

Identyfikator artykułu: 2516445 — ostatni przegląd: 08/09/2012 09:43:00 — zmiana: 3.0

  • Windows 7 Service Pack 1
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Enterprise
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Dodatek Service Pack 2 do systemu Windows Vista
  • Dodatek Service Pack 1 do systemu Windows Vista
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Hyper V
  • Windows Server 2012 Standard
  • Windows 8
  • Windows 8 Professional
  • Windows 8 Enterprise
  • kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445
Opinia