Du arbetar offline, väntar på att återansluta till Internet

SBP-2-drivrutinen blockeras för att minska 1394 DMA-hot mot BitLocker

Symptom
En BitLocker-skyddad dator kan vara utsatt för DMA-angrepp (Direct Memory Access) när dator är påslagen eller i standby-läge, även om skrivbordet är låst.

BitLocker med endast TPM-autentisering kan försätta en dator i påslaget läge utan någon Pre-Boot-autentisering. Det innebär att en angripare kan utföra DMA-attacker.

I de här konfigureringarna kan en angripare söka efter BitLocker-krypteringsnycklar i systemminnet genom att förfalska SBP-2-maskinvarans ID med hjälp av en angreppsenhet som är ansluten till en 1394-port.

Den här artikeln gäller följande system:
  • System som lämnas påslagna.
  • System som lämnas i standby-läge.
  • System som endast använder BitLocker-skyddet TPM.
Orsak
1394 Fysisk DMA
Branschstandardens1394-styrenheter (OHCI-kompatibla) innehåller funktioner för att få åtkomst till systemminnet. Funktionerna tillhandahålls som en förbättring av prestandan. De gör att stora mängder data kan överföras direkt mellan en 1394-enhet och systemminnet, och kringgå processorn och programvaran. Som standard är 1394 Fysisk DMA inaktiverat i alla versioner av Windows. Det finns två sätt att aktivera 1394 Fysisk DMA:
  • En administratör aktiverar 1394 Kernelfelsökning.
  • Någon med fysisk åtkomst till datorn ansluter en 1394-lagringsenhet som uppfyller SBP-2-specifikationen
1394 DMA-hot mot BitLocker
Kontroller av BitLocker-systemets integritet skyddar mot otillåtna statusändringar av kernelfelsökning. Men en angripare kan ansluta en angreppsenhet till en 1394-port och sedan förfalska ett SBP-2-maskinvaru-ID. När Windows registrerar SBP-2-maskinvarans ID läses SBP-2-drivrutinen in (sbp2port.sys) och instrueras därefter att tillåta SBP-2-enheten att utföra DMA. Det gör det möjligt för en angripare att få tillgång till systemminnet och söka efter BitLocker-krypteringsnycklar.
Lösning
Vissa konfigureringar av BitLocker kan minska risken. Skyddskomponenterna TPM+PIN, TPM+USB och TPM+PIN+USB minskar effekten av DMA-angrepp när datorer inte använder strömsparläge (RAM-uppehåll). Om ditt företag endast tillåter TPM-skydd eller stöder datorer i strömsparläge, rekommenderar vi att du blockerar Windows SBP-2-drivrutinen för att minska riskerna för 1394 DMA-angrepp.

Mer information om hur du gör finns på följande Microsoft-webbsida i avsnittet om att förhindra installation av drivrutiner som matchar följande enhetsinstallationsklasser under avsnittet Group Policy Settings for Device Installation (Grupprincipinställningar för enhetsinstallation):
ID för enhetsklassen för en SBP-2-enhet är "d48179be-ec20-11d1-b6b8-00c04fa372a7.

Obs! Nackdelen med den här åtgärden är att externa lagringsenheter inte längre kan anslutas till 1394-porten. Eftersom USB och eSATA är så vanligt förekommande bör de oönskade effekterna av den här åtgärden vara begränsade.
Mer Information
Mer information om att DMA-hot mot BitLocker finns på följande Microsoft-webbsida: Mer information om åtgärder mot kalla angrepp mot BitLocker finns på följande Microsoft-webbsida:
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE
Obs! Det här är en "FAST PUBLISH”-artikel som skapats direkt inom Microsofts supportorganisation. Informationen i artikeln tillhandahålls i befintligt skick för att besvara framtida frågor. På grund av den snabba framtagningen kan materialet innehålla typografiska fel och kan utan förvarning när som helst komma att omarbetas. Se användarvillkoren för andra hänsynstaganden.
Egenskaper

Artikel-id: 2516445 – senaste granskning 03/09/2011 19:17:00 – revision: 1.0

  • kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445
Feedback