您目前已離線,請等候您的網際網路重新連線

封鎖 SBP-2 驅動程式和 Thunderbolt 控制器以減少 1394 DMA 及 Thunderbolt DMA 對 BitLocker 所帶來的威脅

對於 Windows Vista Service Pack 1 (SP1) 的支援將於 2011 年 7 月 12 日停止。如果要繼續收到 Windows 的安全性更新,請確定您執行的是 Windows Vista (含 Service Pack 2 (SP2))。如需詳細資訊,請移至下列 Microsoft 網站:已結束針對部分 Windows 版本的支援
徵狀
當電腦處於電源開啟或待命電源狀態 (包含桌面鎖定狀態) 時,BitLocker 保護的電腦可能會很容易受到直接記憶體存取 (DMA) 攻擊。

具有 TPM-only 驗證的 BitLocker 允許電腦不需任何開機前驗證便能進入電源開啟狀態。因此,攻擊者便可藉此執行 DMA 攻擊。

在這些組態中,攻擊者可能會透過使用插入 1394 連接埠的攻擊裝置偽裝而成的 SBP-2 硬體識別碼,在系統記憶體中搜尋 BitLocker 加密金鑰。此外,作用中的 Thunderbolt 連接埠也讓供擊者可存取系統記憶體來進行攻擊。

本文適用於下列系統:
  • 處於電源開啟狀態的系統
  • 處於待命電源狀態的系統
  • 使用 TPM-only BitLocker 保護裝置的系統
發生的原因
1394 實體 DMA

業界標準 1394 控制器 (與 OHCI 相容) 提供可存取系統記憶體的功能。這項功能是提供作為效能改善之用。該功能可略過 CPU 和軟體,讓大量資料直接在 1394 裝置和系統記憶體之間轉送。根據預設,所有 Windows 版本中的 1394 實際 DMA 均停用。您可使用下列選項啟用 1394 實體 DMA:
  • 請系統管理員啟用 1394 核心偵錯。
  • 擁有連線到符合 SBP-2 規格的 1394 存放裝置之電腦實際存取權的使用者
1394 DMA 對 BitLocker 的威脅

BitLocker 系統完整性檢查可保護系統避免未經授權的核心偵錯狀態變更。但是,攻擊者仍可以將攻擊裝置連線到 1394 連接埠,然後偽裝成 SBP-2 硬體識別碼。當 Windows 偵測到 SBP-2 硬體識別碼時,Windows 便會載入 SBP-2 驅動程式 (sbp2port.sys),然後指示該驅動程式讓 SBP-2 裝置執行 DMA。此動作可讓攻擊者藉此獲取系統記憶體的存取權並搜尋 BitLocker 加密金鑰。

Thunderbolt 實體 DMA

Thunderbolt 是個具有可直接存取系統記憶體功能的新外部匯流排。這項功能是提為效能改善之用。這項功能可讓大量資料直接在 Thunderbolt 裝置和系統記憶體之間轉送,因此可略過 CPU 和軟體。任何 Windows 版本皆不支援 Thunderbolt,但製造商還是可以決定納入此連接埠類型。

Thunderbolt 對 BitLocker 的威脅

攻擊者可連線到 Thunderbolt 連接埠所連接的特殊用途裝置,並透過取得 PCI Express 匯流排取得記憶體的完整直接存取權。此動作可讓攻擊者藉此獲取系統記憶體的存取權並搜尋 BitLocker 加密金鑰。
解決方案
BitLocker 的某些設定可減低遭受此類攻擊危害的風險。當電腦非處於睡眠 (suspend to RAM) 狀態時,TPM+PIN、TPM+USB 和 TPM+PIN+USB 保護裝置可減少 DMA 攻擊所帶來的影響。如果您的組織允許 TPM-only 保護裝置運作或支援處於睡眠模式的電腦,我們建議您封鎖 Windows SBP-2 驅動程式和所有 Thunderbolt 控制器以減低遭受 DMA 攻擊的風險。

如需有關如何執行這項操作的詳細資訊,請移至下列 Microsoft 網站:

SBP-2 安全防護功能

請參閱上述網站<裝置安裝的群組原則設定>下的<防止安裝符合這些裝置設定類別的驅動程式>一節。

下面是 SBP-2 磁碟機的隨插即用裝置安裝類別 GUID:
d48179be-ec20-11d1-b6b8-00c04fa372a7

Thunderbolt 安全防護功能

重要 下列 Thunderbolt 安全防護功能只適用於 Windows 8 和 Windows Server 2012,不適用於任何<適用於>一節所述的所有其他作業系統。

請參閱上述網站<裝置安裝的群組原則設定>下的<防止安裝符合這些裝置設定類別的驅動程式>一節。

下面是 Thunderbolt 控制器的隨插即用相容識別碼:
PCI\CC_0C0A


注意事項
  • 此安全防護功能的缺點是您再也無法使用 1394 連接埠連接外部存放裝置,且所有已連線到 Thunderbolt 連接埠的 PCI Express 裝置將無法運作。由於仍可使用幾乎人人具備的 USB 和 eSATA,且 Thunderbolt 停用時,DisplayPort 通常仍可運作,所以應可減輕這些安全防護功能所造成的負面影響。
  • 如果您的硬體和目前的 Windows 工程指導 (Windows Engineering Guidance) 相違背,在您啟動電腦之後和 Windows 取得控制硬體的能力之前,系統會啟用這些連接埠上的 DMA。這會讓您的系統暴露在受到入侵的危險之中,且此因應措施無法減輕此狀況所帶來的風險。
其他相關資訊
如需有關 DMA 對 BitLocker 的威脅,請參閱下列 Microsoft 資訊安全部落格: 如需有關針對 BitLocker 的急凍攻擊之安全防護措施的詳細資訊,請參閱下列 Microsoft 整合團隊 (Microsoft Integrity Team) 部落格:
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE WinXP
注意 :本文屬於「快速發佈」文章,係由 Microsoft 技術支援或組織內部直接建立。 本文所包含的資訊是為了回應新問題而依現況提供。 因此為了迅速對外發佈,文章內容可能含有印刷錯誤,而且可能會在不另行通知的情況下進行修改。 如需其他考量事項,請參閱使用規定
內容

文章識別碼:2516445 - 最後檢閱時間:08/09/2012 09:44:00 - 修訂: 3.0

Windows 7 Service Pack 1, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Ultimate, Windows 7 Enterprise, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Service Pack 2, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Windows Vista Service Pack 2, Windows Vista Service Pack 1, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Hyper V, Windows Server 2012 Standard, Windows 8, Windows 8 Professional, Windows 8 Enterprise

  • kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445
意見反應
te = "76500"; var Ctrl = ""; document.write("