En BitLocker-skyddad dator kan vara utsatt för DMA-angrepp (Direct Memory Access) när dator är påslagen eller i standby-läge, även om skrivbordet är låst.
BitLocker med endast TPM-autentisering kan försätta en dator i påslaget läge utan någon Pre-Boot-autentisering. Det innebär att en angripare kan utföra DMA-attacker.
I de här konfigureringarna kan en angripare söka efter BitLocker-krypteringsnycklar i systemminnet genom att förfalska SBP-2-maskinvarans ID med hjälp av en angreppsenhet som är ansluten till en 1394-port.
Den här artikeln gäller följande system:
-
System som lämnas påslagna.
-
System som lämnas i standby-läge.
-
System som endast använder BitLocker-skyddet TPM.
Symptom
1394 Fysisk DMA
Branschstandardens1394-styrenheter (OHCI-kompatibla) innehåller funktioner för att få åtkomst till systemminnet. Funktionerna tillhandahålls som en förbättring av prestandan. De gör att stora mängder data kan överföras direkt mellan en 1394-enhet och systemminnet, och kringgå processorn och programvaran. Som standard är 1394 Fysisk DMA inaktiverat i alla versioner av Windows. Det finns två sätt att aktivera 1394 Fysisk DMA:
-
En administratör aktiverar 1394 Kernelfelsökning.
-
Någon med fysisk åtkomst till datorn ansluter en 1394-lagringsenhet som uppfyller SBP-2-specifikationen
1394 DMA-hot mot BitLocker
Kontroller av BitLocker-systemets integritet skyddar mot otillåtna statusändringar av kernelfelsökning. Men en angripare kan ansluta en angreppsenhet till en 1394-port och sedan förfalska ett SBP-2-maskinvaru-ID. När Windows registrerar SBP-2-maskinvarans ID läses SBP-2-drivrutinen in (sbp2port.sys) och instrueras därefter att tillåta SBP-2-enheten att utföra DMA. Det gör det möjligt för en angripare att få tillgång till systemminnet och söka efter BitLocker-krypteringsnycklar.
Orsak
Vissa konfigureringar av BitLocker kan minska risken. Skyddskomponenterna TPM+PIN, TPM+USB och TPM+PIN+USB minskar effekten av DMA-angrepp när datorer inte använder strömsparläge (RAM-uppehåll). Om ditt företag endast tillåter TPM-skydd eller stöder datorer i strömsparläge, rekommenderar vi att du blockerar Windows SBP-2-drivrutinen för att minska riskerna för 1394 DMA-angrepp.
Mer information om hur du gör finns på följande Microsoft-webbsida i avsnittet om att förhindra installation av drivrutiner som matchar följande enhetsinstallationsklasser under avsnittet Group Policy Settings for Device Installation (Grupprincipinställningar för enhetsinstallation):
Step-By-Step Guide to Controlling Device Installation Using Group Policy (Stegvis guide för att styra installationen av enheter med hjälp av grupprinciper)
ID för enhetsklassen för en SBP-2-enhet är "d48179be-ec20-11d1-b6b8-00c04fa372a7.
Obs! Nackdelen med den här åtgärden är att externa lagringsenheter inte längre kan anslutas till 1394-porten. Eftersom USB och eSATA är så vanligt förekommande bör de oönskade effekterna av den här åtgärden vara begränsade.
Lösning
Mer information om att DMA-hot mot BitLocker finns på följande Microsoft-webbsida:
Windows BitLocker Claims
Mer information om åtgärder mot kalla angrepp mot BitLocker finns på följande Microsoft-webbsida:
Protecting BitLocker from Cold Attacks (Skydda BitLocker mot kalla angrepp)