Você está offline; aguardando reconexão

Bloqueando o driver SBP-2 e os controladores Thunderbolt para reduzir ameaças DMA 1394 e DMA Thunderbolt para BitLocker

O suporte para Windows Vista Service Pack 1 (SP1) terminou em 12 de julho de 2011. Para continuar recebendo atualizações de segurança do Windows, certifique-se de estar executando o Windows Vista com Service Pack 2 (SP2). Para obter mais informações, vá para a seguinte página da Web da Microsoft: O suporte está terminando para algumas versões do Windows.
Sintomas
Um computador protegido pelo BitLocker pode estar vulnerável a ataques de DMA (Direct Memory Access) quando o computador estiver ligado ou em modo de espera. Isso inclui quando a área de trabalho está bloqueada.

O BitLocker com a autenticação somente para TPM permite que um computador entre no estado ligado sem qualquer autenticação de pré-inicialização. Portanto, o invasor poderá executar ataques de DMA.

Nessas configurações, um invasor poderá pesquisar por chaves de criptografia do BitLocker na memória do sistema ao falsificar a ID de hardware SBP-2 usando um dispositivo de ataque conectado a uma porta 1394. Como alternativa, uma porta Thunderbolt ativa também fornece acesso a memória do sistema para realizar um ataque.

Este artigo aplica-se aos seguintes sistemas:
  • Sistemas que são deixados ligados.
  • Sistemas que são deixados no estado de espera.
  • Sistemas que usam o protetor de BitLocker somente para TPM
Causa
1394 physical DMA

Os controladores de 1394 padrão do setor (compatível com OHCI) fornecem funcionalidades que permitem acesso à memória do sistema. Essa funcionalidade é fornecida como aprimoramento de desempenho. Ela permite transferência de grandes quantidades de dados entre um dispositivo 1394 e a memória do sistema, ignorando CPU e softwares. Por padrão, o 1394 Physical DMA é desabilitado em todas as versões do Windows. As seguintes opções estão disponíveis para ativar o 1394 Physical DMA:
  • Um administrador habilita a depuração de kernel do 1394.
  • Uma pessoa com acesso físico ao computador se conecta a um dispositivo de armazenamento 1394 de acordo com a especificação SBP-2.
Ameaças de DMA 1394 para o BitLocker

As verificações de integridade do sistema do BitLocker protegem contra alterações de status não autorizadas de depuração de kernel. No entanto, é possível que um invasor conecte um dispositivo a uma porta 1394 e falsifique uma ID de hardware SBP-2. Quando o Windows detectar a ID de hardware SBP-2, ele carregará um driver do SBP-2 (sbp2port.sys) e instruirá o driver a permitir que o dispositivo SBP-2 execute o DMA. Isso permite que um invasor obtenha acesso à memória do sistema e procure por chaves de criptografia do BitLocker.

DMA físico Thunderbolt

O ThunderBolt é um novo barramento externo com funcionalidade que permite acesso direto à memória do sistema. Essa funcionalidade é fornecida como aprimoramento de desempenho. Ela permite a transferência de grandes quantidades de dados diretamente entre um dispositivo Thunderbolt e a memória do sistema, com isso ignorando a CPU e os softwares. O Thunderbolt não é compatível com nenhuma versão do Windows, mas os fabricantes podem ainda decidir incluir este tipo de porta.

Ameaças ThunderBolt ao BitLocker

Um invasor pode conectar um dispositivo especial a uma porta Thunderbolt e ter acesso total direto à memória através do barramento PCI Express. Isto pode permitir que um invasor ganhe acesso à memória do sistema e procure pelas chaves de criptografia do BitLocker.
Resolução
Algumas configurações do BitLocker podem reduzir o risco desse tipo de ataque. Os protetores TPM+PIN, TPM+USB e TPM+PIN+USB reduzem o efeito de ataques DMA quando os computadores não utilizarem o modo de espera (suspender para RAM). Se sua organização permitir protetores somente para TPM ou suportar computadores no modo de espera, é recomendável bloquear o driver SBP-2 do Windows e todos os controladores Thunderbolt para reduzir o risco de ataques DMA.

Para obter mais informações sobre como fazer isto, visite o seguinte site da Microsoft:

Atenuação do SBP-2

No site mencionado anteriormente, consulte a seção "Impedir instalação de drivers que correspondam a essas classes de configuração de dispositivo" em "Configurações de política de grupo para instalação de dispositivos".

A seguir está a instalação do GUID de classe de dispositivo Plug and Play para uma unidade SBP-2:
d48179be-ec20-11d1-b6b8-00c04fa372a7

Atenuação do Thunderbolt

Importante A seguinte atenuação do Thunderbolt aplica-se somente ao Windows 8 e ao Windows Server 2012. Não se aplica a nenhum outro sistema operacional mencionados na seção "Aplicável a".

No site mencionado anteriormente, consulte a seção "Impedir instalação de dispositivos que correspondam a esses IDs do dispositivos" em "Configurações de política de grupo para instalação de dispositivos".

Esta é a ID de Plug and Play compatível para um controlador Thunderbolt:
PCI\CC_0C0A


Observações
  • A desvantagem desta atenuação é que os dispositivos de armazenamento externo não podem mais se conectar usando a porta 1394 e todos os dispositivos PCI Express que não estiverem conectados à porta Thunderbolt não funcionarão. Como o USB e eSATA são tão prevalecentes e o DisplayPort geralmente funciona mesmo quando o Thunderbolt está desativado, o efeito adverso causado por essas atenuações deve ser limitado. 
  • Se seu hardware desviar do Windows Engineering Guidance atual, isto pode habilitar o DMA nessas portas após iniciar o computador e antes do Windows tomar o controle do hardware. Isso expõe seu sistema e essa condição não é atenuada por esta solução alternativa.
Mais Informações
Para obter mais informações sobre ameaças DMA ao BitLocker, consulte o seguinte blog do Microsoft Security: Para obter mais informações sobre atenuações de ataques estáticos ao BitLocker, consulte o seguinte blog da Equipe de Integridade da Microsoft:
atualização security_patch security_update segurança bug falha vulnerabilidade mal-intencionado invasor exploração Registro não autenticado buffer saturação estouro especialmente formado escopo especialmente criado negação de serviço DoS TSE Thunderbolt DMA Firewire SBP-2 1394
Observação: este é um artigo de “PUBLICAÇÃO RÁPIDA” criado diretamente pela organização de suporte da Microsoft. As informações aqui contidas são fornecidas no presente estado, em resposta a questões emergentes. Como resultado da velocidade de disponibilização, os materiais podem incluir erros tipográficos e poderão ser revisados a qualquer momento, sem aviso prévio. Consulte os Termos de Uso para ver outras informações.
Propriedades

ID do Artigo: 2516445 - Última Revisão: 08/09/2012 09:43:00 - Revisão: 3.0

Windows 7 Service Pack 1, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Ultimate, Windows 7 Enterprise, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Service Pack 2, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Windows Vista Service Pack 2, Service Pack 1 para Windows Vista, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Hyper V, Windows Server 2012 Standard, Windows 8, Windows 8 Professional, Windows 8 Enterprise

  • kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445
Comentários
">ml>