Блокирование драйвера SBP-2 и контроллеров Thunderbolt с целью предотвратить прямой доступ к памяти через порты 1394 и Thunderbolt в компьютере с функцией шифрования BitLocker

Поддержка системы Windows Vista с пакетом обновления 1 (SP1) прекратится 12 июля 2011 г. Чтобы по-прежнему получать обновления для системы безопасности Windows, установите пакет обновления 2 (SP2) для Windows Vista. Дополнительные сведения см. на указанном ниже веб-сайте корпорации Майкрософт. Заканчивается поддержка некоторых версий Windows.

Проблема

Компьютер, защищенный технологией шифрования BitLocker, может быть уязвим перед угрозами прямого доступа к памяти (DMA), когда он включен или находится в ждущем режиме. Сюда входят и случаи, когда рабочий стол заблокирован.

Функция шифрования BitLocker с проверкой подлинности только через доверенный платформенный модуль позволяет компьютеру перейти в режим включения питания без проверки подлинности перед загрузкой. По этой причине злоумышленник может получить прямой доступ к памяти.

В такой ситуации он может выполнить поиск ключей шифрования BitLocker в системной памяти, подделав код оборудования SBP-2 с помощью специального устройства, подключенного к порту 1394. Кроме того, действующий порт Thunderbolt также предоставляет доступ к системной памяти с целью атаки.

Проблемы, описанные в этой статье, могут возникнуть:
  • во включенных системах;
  • в системах, которые находятся в ждущем режиме;
  • в системах, защищенных технологией шифрования BitLocker с проверкой подлинности только через доверенный платформенный модуль.

Причина

Физический прямой доступ к памяти через порт 1394

Контроллеры 1394, соответствующие отраслевому стандарту (OHCI-совместимые), позволяют получить доступ к системной памяти. Такая возможность представлена как улучшение в области производительности, поскольку позволяет передавать большой объем данных непосредственно с устройства, подключенного к порту 1394, в системную память, обходя центральный процессор и программное обеспечение. По умолчанию физический прямой доступ к памяти через порт 1394 отключен во всех версиях Windows. Существуют следующие варианты его включения:
  • администратор включает отладку на уровне ядра через порт 1394;
  • пользователь, обладающий физическим доступом к компьютеру, подключает запоминающее устройство, которое соответствует спецификации SBP-2, к порту 1394.
Угрозы прямого доступа к памяти через порт 1394 в компьютере с функцией шифрования BitLocker

Проверки целостности системы BitLocker защищают от несанкционированных изменений состояния отладки на уровне ядра. Тем не менее злоумышленник может подключить специальное устройство к порту 1394 и подделать код оборудования SBP-2. Когда система Windows обнаруживает этот код, она загружает драйвер SBP-2 (sbp2port.sys) и отправляет ему команду разрешить устройству SBP-2 прямой доступ к памяти. Это позволяет злоумышленнику получить доступ к системной памяти и выполнить поиск ключей шифрования BitLocker.

Физический прямой доступ к памяти через порт Thunderbolt

Thunderbolt — это новая внешняя шина с функциональностью, которая позволяет получить прямой доступ к системной памяти. Такая функциональность предоставляется как улучшение в области производительности, поскольку позволяет передавать большой объем данных непосредственно с устройства Thunderbolt в системную память, обходя центральный процессор и программное обеспечение. Thunderbolt не поддерживается ни в одной версии Windows, но производители могут принять решение о включении этого типа порта.

Угрозы прямого доступа к памяти через порт Thunderbolt в компьютере с функцией шифрования BitLocker

Злоумышленник может подключить специальное устройство в порт Thunderbolt и получить прямой доступ к памяти через шину PCI Express. Это может позволить злоумышленнику получить доступ к системной памяти и выполнить поиск ключей шифрования BitLocker.

Решение

Некоторые конфигурации BitLocker могут снизить риск атак такого типа. Если в компьютере не используется режим сна (приостановки ОЗУ), снизить риск могут следующие способы защиты: использование доверенного платформенного модуля и ПИН-кода; использование доверенного платформенного модуля и USB-ключа; использование доверенного платформенного модуля, ПИН-кода и USB-ключа. Кроме того, если в вашей организации разрешено использовать только доверенный платформенный модуль, или принято поддерживать компьютеры в режиме сна, то с целью снижения риска атак прямого доступа к памяти рекомендуется заблокировать в Windows драйвер SBP-2 и все контроллеры Thunderbolt.

Дополнительные сведения о том, как это делается, см. на следующем веб-сайте Майкрософт:

Снижение рисков, связанных с SBP-2

На упомянутом выше веб-сайте см. подраздел "Предотвращение установки драйверов, соответствующих этим классам установки устройств" в разделе "Параметры групповой политики для установки устройств".

Далее приводится GUID класса установки устройства Plug and Play для драйвера SBP-2.


d48179be-ec20-11d1-b6b8-00c04fa372a7

Снижение рисков, связанных с Thunderbolt

Важно! Следующий способ снижения рисков, связанных с Thunderbolt, относится только к Windows 8 и Windows Server 2012. Его нельзя применять к другим операционным системам, упомянутым в разделе "Информация в данной статье применима к".


На упомянутом выше веб-сайте см. подраздел Предотвращение установки устройств, соответствующих этим идентификаторам" в разделе "Параметры групповой политики для установки устройств".

Далее приводится идентификатор контроллера Thunderbolt, совместимый с устройством Plug and Play.
PCI\CC_0C0A


Примечания.

Дополнительная информация

Дополнительные сведения об угрозах прямого доступа к памяти в компьютере с функцией шифрования BitLocker см. в следующем блоге, посвященном обеспечению безопасности в Майкрософт: Дополнительные сведения о снижении риска атак "холодной" начальной загрузки на компьютеры с функцией шифрования BitLocker см. в следующем блоге группы обеспечения целостности данных Майкрософт:
Свойства

Номер статьи: 2516445 — последний просмотр: 9 авг. 2012 г. — редакция: 1

Windows 7 Service Pack 1, Windows 7 Домашняя базовая, Windows 7 Домашняя базовая, Windows 7 Домашняя расширенная, Windows 7 Домашняя расширенная, Windows 7 Профессиональная, Windows 7 Профессиональная, Windows 7 Максимальная, Windows 7 Максимальная, Windows 7 Корпоративная, Windows 7 Корпоративная, Windows 7 Домашняя базовая, Windows 7 Домашняя базовая, Windows 7 Домашняя расширенная, Windows 7 Домашняя расширенная, Windows 7 Профессиональная, Windows 7 Профессиональная, Windows 7 Максимальная, Windows 7 Максимальная, Windows 7 Корпоративная, Windows 7 Корпоративная, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Datacenter, Windows Server 2008 Service Pack 2, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Standard, Windows Web Server 2008, Windows Web Server 2008, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Standard, Windows Web Server 2008, Windows Web Server 2008, Service Pack 2 для Windows Vista, Windows Vista Business, Windows Vista Business, Windows Vista Enterprise, Windows Vista Enterprise, Windows Vista Home Basic, Windows Vista Home Basic, Windows Vista Home Premium, Windows Vista Home Premium, Windows Vista Starter, Windows Vista Starter, Windows Vista Ultimate, Windows Vista Ultimate, Windows Vista Enterprise 64-bit edition, Windows Vista Enterprise 64-bit edition, Windows Vista Home Basic 64-bit edition, Windows Vista Home Basic 64-bit edition, Windows Vista Home Premium 64-bit edition, Windows Vista Home Premium 64-bit edition, Windows Vista Ultimate 64-bit edition, Windows Vista Ultimate 64-bit edition, Windows Vista Business 64-bit edition, Windows Vista Business 64-bit edition, Service Pack 1 для Windows Vista, Windows Vista Business, Windows Vista Business, Windows Vista Enterprise, Windows Vista Enterprise, Windows Vista Home Basic, Windows Vista Home Basic, Windows Vista Home Premium, Windows Vista Home Premium, Windows Vista Starter, Windows Vista Starter, Windows Vista Ultimate, Windows Vista Ultimate, Windows Vista Enterprise 64-bit edition, Windows Vista Enterprise 64-bit edition, Windows Vista Home Basic 64-bit edition, Windows Vista Home Basic 64-bit edition, Windows Vista Home Premium 64-bit edition, Windows Vista Home Premium 64-bit edition, Windows Vista Ultimate 64-bit edition, Windows Vista Ultimate 64-bit edition, Windows Vista Business 64-bit edition, Windows Vista Business 64-bit edition, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Microsoft Hyper-V Server 2012, Windows Server 2012 Standard, Windows 8, Windows 8 Enterprise

Отзывы и предложения