Bloquear o controlador SBP-2 e os controladores Thunderbolt para reduzir as ameaças DMA 1394 e Thunderbolt DMA para BitLocker

O Windows Vista Service Pack 1 (SP1) deixou de ter suporte a 12 de Julho de 2011. Para continuar a receber actualizações de segurança para o Windows, certifique-se de que tem instalado o Windows Vista com Service Pack 2 (SP2). Para mais informações, consulte o seguinte Web site da Microsoft: Algumas versões do Windows vão deixar de ter suporte.

Sintomas

Um computador protegido por BitLocker pode estar vulnerável a ataques de Acesso Directo à Memória (DMA) quando o computador estiver ligado ou em Modo de Espera. Inclusivamente quando o ambiente de trabalho está bloqueado.

O BitLocker com autenticação apenas TPM permite que um computador entre no estado ligado sem qualquer autenticação pré-arranque. Por conseguinte, um atacante pode ser capaz de executar ataques de DMA.

Com estas configurações, é possível que um atacante consiga procurar as chaves de encriptação BitLocker na memória do sistema, ao fazer spoofing ao ID de hardware SBP-2, utilizando um dispositivo atacante ligado a uma porta 1394. Em alternativa, uma porta activa Thunderbolt também proporciona o acesso à memória do sistema para efectuar um ataque.

Este artigo aplica-se aos seguintes sistemas:
  • Sistemas que são deixados ligados
  • Sistemas que são deixados no Modo de Espera
  • Sistemas que utilizam o protector do BitLocker apenas TPM

Causa

DMA físico 1394

Os controladores 1394 padrão (compatível com OHCI ) fornecem funcionalidade que permite acesso à memória do sistema. Esta funcionalidade é fornecida como uma melhoria de desempenho. Permite que grandes volumes de dados sejam transferidos directamente entre um dispositivo 1394 e a memória do sistema, ignorando a CPU e o software. Por predefinição, o DMA físico 1394 está desactivado em todas as versões do Windows. As opções seguintes estão disponíveis para activar o DMA físico 1394:
  • Um administrador activa a depuração do Kernel 1394.
  • Alguém que tenha acesso físico ao computador liga um dispositivo de armazenamento 1394 compatível com a especificação SBP-2.
Ameaças DMA 1394 para BitLocker

As verificações de integridade do sistema BitLocker protegem contra alterações não autorizadas de estado de depuração do Kernel. No entanto, um atacante poderia ligar um dispositivo atacante a uma porta 1394 e, em seguida, falsificar uma ID de hardware SBP-2. Quando o Windows detecta uma ID de hardware SBP-2, carrega o controlador SBP-2 (sbp2port.sys) e, em seguida, dá instruções ao controlador de forma a permitir que o dispositivo SBP-2 execute o DMA. Isto permite que um invasor obtenha acesso à memória do sistema e procure as chaves de encriptação do BitLocker. 

DMA físico Thunderbolt

Thunderbolt é um novo barramento externo com uma funcionalidade que permite o acesso directo à memória do sistema. Esta funcionalidade é fornecida como uma melhoria de desempenho. Permite que grandes volumes de dados sejam transferidos directamente entre um dispositivo Thunderbolt e a memória do sistema, ignorando assim a CPU e o software. O Thunderbolt não é suportado em nenhuma versão do Windows, mas os fabricantes poderão ainda decidir incluir este tipo de porta.

Ameaças Thunderbolt para BitLocker

Um invasor poderia ligar um dispositivo especial a uma porta Thunderbolt e ter acesso directo integral à memória através do barramento PCI Express. Isto poderia permitir que um invasor obtivesse acesso à memória do sistema e procurasse as chaves de encriptação do BitLocker.

Resolução

Algumas configurações do BitLocker podem reduzir o risco deste tipo de ataque. Os protectores TPM+PIN, TPM+USB e TPM+PIN+USB reduzem o efeito dos ataques DMA, quando os computadores não utilizam o modo de suspensão (suspender para RAM). Se a sua organização permitir protectores apenas TPM ou suportar computadores em modo de suspensão, recomendamos que bloqueie o controlador Windows SBP-2 e todos os controladores Thunderbolt para reduzir o risco de ataques DMA.

Para obter mais informações sobre como fazê-lo, consulte o seguinte Web site da Microsoft:

Mitigação SBP-2

No Web site mencionado anteriormente, consulte a secção "Impedir a instalação de controladores que correspondam a estas classes de configuração de dispositivos", em "Definições de Política de Grupo para Instalação de Dispositivos".

Segue-se a classe de configuração de dispositivos Plug and Play GUID para uma unidade SBP-2:


d48179be-ec20-11d1-b6b8-00c04fa372a7

Mitigação Thunderbolt

Importante A seguinte mitigação Thunderbolt aplica-se apenas ao Windows 8 e ao Windows Server 2012. Não se aplica a nenhum dos outros sistemas operativos que estejam mencionados na secção "Aplica-se a".


No Web site mencionado anteriormente, consulte a secção "Impedir a instalação de dispositivos que correspondam às IDs destes dispositivos" em "Definições de Política de Grupo para Instalação de Dispositivos".

Segue-se a ID compatível com Plug and Play para um controlador Thunderbolt:
PCI\CC_0C0A


Notas

Mais Informação

Para mais informações sobre ameaças DMA para BitLocker, consulte o seguinte blogue do Microsoft Security: Para obter mais informações relativas às mitigações para ataques a frio contra o BitLocker, consulte o seguinte blogue da Equipa Microsoft Integrity:
Propriedades

ID do Artigo: 2516445 - Última Revisão: 09/08/2012 - Revisão: 1

Comentários