你目前正处于脱机状态,正在等待 Internet 重新连接

阻止 SBP-2 驱动程序和 Thunderbolt 控制器可减少对 BitLocker 的 1394 DMA 和 Thunderbolt DMA 威胁

对 Windows Vista Service Pack 1 (SP1) 的支持已于 2011 年 7 月 12 日结束。若要继续接收 Windows 安全更新,请确保您运行的是 Windows Vista Service Pack 2 (SP2)。有关详细信息,请参阅以下 Microsoft 网站:对某些 Windows 版本的支持即将结束
症状
当计算机开启或处于待机电源状态时,受 BitLocker 保护的计算机可能易受直接内存访问 (DMA) 攻击。这包括桌面锁定的情况。

具有仅 TPM 身份验证的 BitLocker 可让计算机进入开机状态,无需任何预启动身份验证。因此,攻击者可能执行 DMA 攻击。

在此设置下,攻击者可能会使用插在 1394 端口的攻击设备,通过欺骗 SBP-2 硬件 ID 搜索到系统内存中的 BitLocker 加密密钥。另外,活动的 Thunderbolt 端口也提供系统内存访问,以执行攻击。

本文适用于以下产品:
  • 已开启的系统
  • 处于待机电源状态的系统
  • 使用仅 TPM BitLocker 保护程序的系统
原因
1394 物理 DMA

1394 控制器行业标准(OHCI 兼容) 提供允许访问系统内存的功能。此功能是作为性能改进而提供的。该功能允许 1394 设备和系统内存之间直接进行大量的数据转移,而绕过 CPU 和软件。默认状态下,所有版本的 Windows 中禁用 1394 物理 DMA。以下选项可用来启用 1394 物理 DMA:
  • 管理员启用 1394 内核调试。
  • 具有计算机物理访问权限的人可连接符合 SBP-2 规范的 1394 存储设备。
对 BitLocker 的 1394 DMA 威胁

BitLocker 系统完整性检查防止未经授权的内核调试状态更改。但是,攻击者可以将攻击设备连接到 1394 端口,然后欺骗 SBP-2 硬件ID。当 Windows 检测到某个 SBP-2 硬件 ID 时,将会加载 SBP-2 驱动程序 (sbp2port.sys),然后指示驱动程序允许 SBP-2 设备执行 DMA。此操作可让攻击者访问系统内存,并搜索 BitLocker 加密密钥。

Thunderbolt 物理 DMA

Thunderbolt 是具有允许直接访问系统内存的功能的新外部总线。此功能是作为性能改进而提供的。该功能允许 Thunderbolt 设备和系统内存之间直接进行大量的数据转移,而绕过 CPU 和软件。任何版本的 Windows 均不支持Thunderbolt,但制造商可能仍然决定包含此端口类型。

对 BitLocker 的 Thunderbolt 威胁

攻击者可以将一个特殊用途的设备连接到 Thunderbolt 端口,并通过 PCI Express 总线进行完整的直接内存访问。此操作可让攻击者访问系统内存,并搜索 BitLocker 加密密钥。
解决方案
BitLocker 的某些配置可以此类攻击的风险。在计算机未使用休眠模式(挂起到 RAM)时,TPM + PIN、TPM + USB 和 TPM + PIN + USB 保护程序可减少 DMA 攻击的影响。如果贵公司允许仅 TPM 保护程序或支持计算机处于休眠模式下,我们建议您阻止 Windows SBP-2 驱动程序和所有 Thunderbolt 控制器,以减少 DMA 攻击的风险。

有关如何进行此操作的详细信息 请转到以下 Microsoft 网站:

SBP-2 缓解

上面提到的网站上,请参阅“设备安装的组策略设置”下的“阻止符合这些设备安装程序类的驱动程序安装”部分。

以下是 SBP-2 驱动程序的即插即用设备安装程序类 GUID:
d48179be-ec20-11d1-b6b8-00c04fa372a7

Thunderbolt 缓解

重要说明以下 Thunderbolt 缓解操作仅适用于 Windows 8 和 Windows Server 2012。该操作不适用于“应用于”部分提到的任何其他操作系统。

上面提到的网站上,请参阅“设备安装的组策略设置”下的“阻止符合这些设备 ID 的设备安装”部分。

以下是 Thunderbolt 控制器的即插即用兼容 ID:
PCI\CC_0C0A


注意
  • 此减缓操作的缺点是外部存储设备无法再使用 1394 端口进行连接,并且已连接到 Thunderbolt 端口的所有 PCI Express 设备将不起作用。由于 USB 和 eSATA 十分流行,而且 DisplayPort 通常在 Thunderbolt 禁用后依然起作用,应限制这些缓解操作所造成的不利影响。
  • 如果您的硬件偏离当前的 Windows 工程指南,在您启动计算机后并且 Windows 控制硬件之前,该硬件可能会在这些端口上启用 DMA,而且这种情况无法通过此解决方法缓和。
更多信息
有关对 BitLocker 的 DMA 威胁的详细信息,请参阅以下 Microsoft 安全博客:有关针对 BitLocker 冷攻击的缓解操作的详细信息,请参阅以下 Microsoft 完整团队博客:
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE Thunderbolt DMA Firewire SBP-2 1394
注意:本篇“快速发布”文章是从 Microsoft 支持组织直接创建的。 文中包含的信息按原样提供,用于响应紧急问题。 由于发布仓促,材料可能包含印刷错误,并且可能随时修订,恕不另行通知。 有关其他注意事项,请参阅使用条款
属性

文章 ID:2516445 - 上次审阅时间:08/09/2012 09:44:00 - 修订版本: 3.0

Windows 7 Service Pack 1, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Ultimate, Windows 7 Enterprise, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Service Pack 2, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Windows Vista Service Pack 2, Windows Vista Service Pack 1, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Hyper V, Windows Server 2012 Standard, Windows 8, Windows 8 Professional, Windows 8 Enterprise

  • kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445
反馈