В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Блокирование драйвера SBP-2 и контроллеров Thunderbolt с целью предотвратить прямой доступ к памяти через порты 1394 и Thunderbolt в компьютере с функцией шифрования BitLocker

Поддержка системы Windows Vista с пакетом обновления 1 (SP1) прекратится 12 июля 2011 г. Чтобы по-прежнему получать обновления для системы безопасности Windows, установите пакет обновления 2 (SP2) для Windows Vista. Дополнительные сведения см. на указанном ниже веб-сайте корпорации Майкрософт. Заканчивается поддержка некоторых версий Windows.
Проблема
Компьютер, защищенный технологией шифрования BitLocker, может быть уязвим перед угрозами прямого доступа к памяти (DMA), когда он включен или находится в ждущем режиме. Сюда входят и случаи, когда рабочий стол заблокирован.

Функция шифрования BitLocker с проверкой подлинности только через доверенный платформенный модуль позволяет компьютеру перейти в режим включения питания без проверки подлинности перед загрузкой. По этой причине злоумышленник может получить прямой доступ к памяти.

В такой ситуации он может выполнить поиск ключей шифрования BitLocker в системной памяти, подделав код оборудования SBP-2 с помощью специального устройства, подключенного к порту 1394. Кроме того, действующий порт Thunderbolt также предоставляет доступ к системной памяти с целью атаки.

Проблемы, описанные в этой статье, могут возникнуть:
  • во включенных системах;
  • в системах, которые находятся в ждущем режиме;
  • в системах, защищенных технологией шифрования BitLocker с проверкой подлинности только через доверенный платформенный модуль.
Причина
Физический прямой доступ к памяти через порт 1394

Контроллеры 1394, соответствующие отраслевому стандарту (OHCI-совместимые), позволяют получить доступ к системной памяти. Такая возможность представлена как улучшение в области производительности, поскольку позволяет передавать большой объем данных непосредственно с устройства, подключенного к порту 1394, в системную память, обходя центральный процессор и программное обеспечение. По умолчанию физический прямой доступ к памяти через порт 1394 отключен во всех версиях Windows. Существуют следующие варианты его включения:
  • администратор включает отладку на уровне ядра через порт 1394;
  • пользователь, обладающий физическим доступом к компьютеру, подключает запоминающее устройство, которое соответствует спецификации SBP-2, к порту 1394.
Угрозы прямого доступа к памяти через порт 1394 в компьютере с функцией шифрования BitLocker

Проверки целостности системы BitLocker защищают от несанкционированных изменений состояния отладки на уровне ядра. Тем не менее злоумышленник может подключить специальное устройство к порту 1394 и подделать код оборудования SBP-2. Когда система Windows обнаруживает этот код, она загружает драйвер SBP-2 (sbp2port.sys) и отправляет ему команду разрешить устройству SBP-2 прямой доступ к памяти. Это позволяет злоумышленнику получить доступ к системной памяти и выполнить поиск ключей шифрования BitLocker.

Физический прямой доступ к памяти через порт Thunderbolt

Thunderbolt — это новая внешняя шина с функциональностью, которая позволяет получить прямой доступ к системной памяти. Такая функциональность предоставляется как улучшение в области производительности, поскольку позволяет передавать большой объем данных непосредственно с устройства Thunderbolt в системную память, обходя центральный процессор и программное обеспечение. Thunderbolt не поддерживается ни в одной версии Windows, но производители могут принять решение о включении этого типа порта.

Угрозы прямого доступа к памяти через порт Thunderbolt в компьютере с функцией шифрования BitLocker

Злоумышленник может подключить специальное устройство в порт Thunderbolt и получить прямой доступ к памяти через шину PCI Express. Это может позволить злоумышленнику получить доступ к системной памяти и выполнить поиск ключей шифрования BitLocker.
Решение
Некоторые конфигурации BitLocker могут снизить риск атак такого типа. Если в компьютере не используется режим сна (приостановки ОЗУ), снизить риск могут следующие способы защиты: использование доверенного платформенного модуля и ПИН-кода; использование доверенного платформенного модуля и USB-ключа; использование доверенного платформенного модуля, ПИН-кода и USB-ключа. Кроме того, если в вашей организации разрешено использовать только доверенный платформенный модуль, или принято поддерживать компьютеры в режиме сна, то с целью снижения риска атак прямого доступа к памяти рекомендуется заблокировать в Windows драйвер SBP-2 и все контроллеры Thunderbolt.

Дополнительные сведения о том, как это делается, см. на следующем веб-сайте Майкрософт:

Снижение рисков, связанных с SBP-2

На упомянутом выше веб-сайте см. подраздел "Предотвращение установки драйверов, соответствующих этим классам установки устройств" в разделе "Параметры групповой политики для установки устройств".

Далее приводится GUID класса установки устройства Plug and Play для драйвера SBP-2.
d48179be-ec20-11d1-b6b8-00c04fa372a7

Снижение рисков, связанных с Thunderbolt

Важно! Следующий способ снижения рисков, связанных с Thunderbolt, относится только к Windows 8 и Windows Server 2012. Его нельзя применять к другим операционным системам, упомянутым в разделе "Информация в данной статье применима к".

На упомянутом выше веб-сайте см. подраздел Предотвращение установки устройств, соответствующих этим идентификаторам" в разделе "Параметры групповой политики для установки устройств".

Далее приводится идентификатор контроллера Thunderbolt, совместимый с устройством Plug and Play.
PCI\CC_0C0A


Примечания.
  • Недостаток описанного способа снижения рисков заключается в том, что внешние запоминающие устройства больше нельзя будет подключить к порту 1394, и все устройства PCI Express, подключенные к порту Thunderbolt, не будут работать. Однако этот отрицательный эффект может быть незначительным, поскольку многие устройства оснащены интерфейсами USB и eSATA, а DisplayPort часто работает даже при отключении Thunderbolt.
  • Если ваше оборудование не соответствует текущему техническому руководству по Windows, то после запуска компьютера и до того, как Windows установит контроль над оборудованием, оно может включать прямой доступ к памяти в этих портах. Таким образом будет открыт путь к нарушению безопасности вашей системы, и с помощью данного способа это условие не устраняется.
Дополнительная информация
Дополнительные сведения об угрозах прямого доступа к памяти в компьютере с функцией шифрования BitLocker см. в следующем блоге, посвященном обеспечению безопасности в Майкрософт: Дополнительные сведения о снижении риска атак "холодной" начальной загрузки на компьютеры с функцией шифрования BitLocker см. в следующем блоге группы обеспечения целостности данных Майкрософт:
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE Thunderbolt DMA Firewire SBP-2 1394
Примечание. Это ЭКСПРЕСС-ПУБЛИКАЦИЯ, подготовленная непосредственно службой технической поддержки Майкрософт . Сведения, содержащиеся в данном документе, предоставлены в качестве отклика на возникшие проблемы. Из-за срочности в материалах могут быть опечатки, и в любое время и без уведомления в них могут быть внесены изменения. Чтобы получить дополнительные сведения, см. Условия использования.
Свойства

Номер статьи: 2516445 — последний просмотр: 08/09/2012 09:44:00 — редакция: 3.0

Windows 7 Service Pack 1, Windows 7 Домашняя базовая, Windows 7 Домашняя расширенная, Windows 7 Профессиональная, Windows 7 Максимальная, Windows 7 Корпоративная, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Service Pack 2, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Service Pack 2 для Windows Vista, Service Pack 1 для Windows Vista, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Hyper V, Windows Server 2012 Standard, Windows 8, Windows 8 Professional, Windows 8 Enterprise

  • kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445
Отзывы и предложения