Aplica-se A
Windows 7 Service Pack 1 Windows 7 Home Basic Windows 7 Home Premium Windows 7 Professional Windows 7 Ultimate Windows 7 Enterprise Windows 7 Home Basic Windows 7 Home Premium Windows 7 Professional Windows 7 Ultimate Windows 7 Enterprise Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Standard Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Standard Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Datacenter Windows Server 2008 Service Pack 2 Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Datacenter Windows Server 2008 Enterprise Windows Server 2008 Standard Windows Server 2008 Web Edition Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Datacenter Windows Server 2008 Enterprise Windows Server 2008 Standard Windows Server 2008 Web Edition Windows Vista Service Pack 2 Windows Vista Business Windows Vista Enterprise Windows Vista Home Basic Windows Vista Home Premium Windows Vista Starter Windows Vista Ultimate Windows Vista Enterprise 64-bit Edition Windows Vista Home Basic 64-bit Edition Windows Vista Home Premium 64-bit Edition Windows Vista Ultimate 64-bit Edition Windows Vista Business 64-bit Edition Windows Vista Business Windows Vista Enterprise Windows Vista Home Basic Windows Vista Home Premium Windows Vista Starter Windows Vista Ultimate Windows Vista Enterprise 64-bit Edition Windows Vista Home Basic 64-bit Edition Windows Vista Home Premium 64-bit Edition Windows Vista Ultimate 64-bit Edition Windows Vista Business 64-bit Edition Windows Server 2012 Datacenter Windows Server 2012 Essentials Windows Server 2012 Foundation Hyper-V Server 2012 Windows Server 2012 Standard Windows 8 Windows 8 Enterprise

O Windows Vista Service Pack 1 (SP1) deixou de ter suporte a 12 de Julho de 2011. Para continuar a receber actualizações de segurança para o Windows, certifique-se de que tem instalado o Windows Vista com Service Pack 2 (SP2). Para mais informações, consulte o seguinte Web site da Microsoft: Algumas versões do Windows vão deixar de ter suporte.

Sintomas

Um computador protegido por BitLocker pode estar vulnerável a ataques de Acesso Directo à Memória (DMA) quando o computador estiver ligado ou em Modo de Espera. Inclusivamente quando o ambiente de trabalho está bloqueado. O BitLocker com autenticação apenas TPM permite que um computador entre no estado ligado sem qualquer autenticação pré-arranque. Por conseguinte, um atacante pode ser capaz de executar ataques de DMA. Com estas configurações, é possível que um atacante consiga procurar as chaves de encriptação BitLocker na memória do sistema, ao fazer spoofing ao ID de hardware SBP-2, utilizando um dispositivo atacante ligado a uma porta 1394. Em alternativa, uma porta activa Thunderbolt também proporciona o acesso à memória do sistema para efectuar um ataque. Este artigo aplica-se aos seguintes sistemas:

  • Sistemas que são deixados ligados

  • Sistemas que são deixados no Modo de Espera

  • Sistemas que utilizam o protector do BitLocker apenas TPM

Causa

DMA físico 1394Os controladores 1394 padrão (compatível com OHCI ) fornecem funcionalidade que permite acesso à memória do sistema. Esta funcionalidade é fornecida como uma melhoria de desempenho. Permite que grandes volumes de dados sejam transferidos directamente entre um dispositivo 1394 e a memória do sistema, ignorando a CPU e o software. Por predefinição, o DMA físico 1394 está desactivado em todas as versões do Windows. As opções seguintes estão disponíveis para activar o DMA físico 1394:

  • Um administrador activa a depuração do Kernel 1394.

  • Alguém que tenha acesso físico ao computador liga um dispositivo de armazenamento 1394 compatível com a especificação SBP-2.

Ameaças DMA 1394 para BitLockerAs verificações de integridade do sistema BitLocker protegem contra alterações não autorizadas de estado de depuração do Kernel. No entanto, um atacante poderia ligar um dispositivo atacante a uma porta 1394 e, em seguida, falsificar uma ID de hardware SBP-2. Quando o Windows detecta uma ID de hardware SBP-2, carrega o controlador SBP-2 (sbp2port.sys) e, em seguida, dá instruções ao controlador de forma a permitir que o dispositivo SBP-2 execute o DMA. Isto permite que um invasor obtenha acesso à memória do sistema e procure as chaves de encriptação do BitLocker. DMA físico ThunderboltThunderbolt é um novo barramento externo com uma funcionalidade que permite o acesso directo à memória do sistema. Esta funcionalidade é fornecida como uma melhoria de desempenho. Permite que grandes volumes de dados sejam transferidos directamente entre um dispositivo Thunderbolt e a memória do sistema, ignorando assim a CPU e o software. O Thunderbolt não é suportado em nenhuma versão do Windows, mas os fabricantes poderão ainda decidir incluir este tipo de porta. Ameaças Thunderbolt para BitLockerUm invasor poderia ligar um dispositivo especial a uma porta Thunderbolt e ter acesso directo integral à memória através do barramento PCI Express. Isto poderia permitir que um invasor obtivesse acesso à memória do sistema e procurasse as chaves de encriptação do BitLocker.

Resolução

Algumas configurações do BitLocker podem reduzir o risco deste tipo de ataque. Os protectores TPM+PIN, TPM+USB e TPM+PIN+USB reduzem o efeito dos ataques DMA, quando os computadores não utilizam o modo de suspensão (suspender para RAM). Se a sua organização permitir protectores apenas TPM ou suportar computadores em modo de suspensão, recomendamos que bloqueie o controlador Windows SBP-2 e todos os controladores Thunderbolt para reduzir o risco de ataques DMA. Para obter mais informações sobre como fazê-lo, consulte o seguinte Web site da Microsoft:

Guia Passo a Passo para Controlar a Instalação de Dispositivos Usando a Política de Grupo

Mitigação SBP-2

No Web site mencionado anteriormente, consulte a secção "Impedir a instalação de controladores que correspondam a estas classes de configuração de dispositivos", em "Definições de Política de Grupo para Instalação de Dispositivos". Segue-se a classe de configuração de dispositivos Plug and Play GUID para uma unidade SBP-2:

d48179be-ec20-11d1-b6b8-00c04fa372a7

Mitigação Thunderbolt

Importante A seguinte mitigação Thunderbolt aplica-se apenas ao Windows 8 e ao Windows Server 2012. Não se aplica a nenhum dos outros sistemas operativos que estejam mencionados na secção "Aplica-se a".No Web site mencionado anteriormente, consulte a secção "Impedir a instalação de dispositivos que correspondam às IDs destes dispositivos" em "Definições de Política de Grupo para Instalação de Dispositivos". Segue-se a ID compatível com Plug and Play para um controlador Thunderbolt:

PCI\CC_0C0ANotas

Mais Informação

Para mais informações sobre ameaças DMA para BitLocker, consulte o seguinte blogue do Microsoft Security:

Pedidos Windows BitLocker Para obter mais informações relativas às mitigações para ataques a frio contra o BitLocker, consulte o seguinte blogue da Equipa Microsoft Integrity:

Proteger o BitLocker contra ataques a frio

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.