Błąd w Windows pozwalał na łatwy dostęp do dysku zaszyfrowanego BitLockerem

Strona głównaBłąd w Windows pozwalał na łatwy dostęp do dysku zaszyfrowanego BitLockerem
17.11.2015 15:48
Błąd w Windows pozwalał na łatwy dostęp do dysku zaszyfrowanego BitLockerem

Osoby, które powierzyły poufność swoich danych BitLockerowimogły czuć się nieciekawie po wydaniu ostatnich biuletynówbezpieczeństwa Microsoftu – luka oznaczona jako MS15-122pozwalała na odszyfrowanie chronionych tym mechanizmem dysków.Firma z Redmond zbyt wiele na ten temat nie powiedziała. W Siecijednak pojawił się artykuł odkrywcy tej luki, przygotowany nakonferencję Black Hat Europe 2015, w którym ujawniona zostałametoda ataku. Okazuje się, że stosując czysto software'owenarzędzia, wystarczyło kilka sekund, by dostać się dozabezpieczonych BitLockerem dysków.

Za ujawnieniem luki stoi Ian Haken z firmy Synopsys. Pokazał on,jak oszukać BitLockera w standardowej konfiguracji, w którejwykorzystywany jest czip Trusted Platform Module, a więc gdzie nietrzeba wpisywać hasła na starcie. Zaatakować w ten sposób możnawszystkie komputery, które były podłączone do domen sieciowych –sytuacja to bardzo częsta w środowiskach korporacyjnych.

Kiedy na laptopie z Windows korzystamy z uwierzytelnienia przezdomenę, hasło użytkownika sprawdzane jest poprzez komputerdziałający jako kontroler domeny. Jeśli laptop znajdzie się pozasiecią, wówczas uwierzytelnienie zależy od danych w lokalnymbuforze. Microsoft spostrzegł groźbę podłączenia przejętegofizycznie komputera do innej sieci, ze sfałszowanym kontroleremsieci, który zaakceptowałby niepoprawne hasło i odblokowałsystem, więc w protokole uwierzytelniania wprowadzono kontrolęrejestracji klienta w kontrolerze domeny za pomocą oddzielnegohasła. Test ten jednak nie zachodzi, gdy nie można nawiązaćłączności z kontrolerem domeny, założono bowiem, że napastniknie może zmienić lokalnie przechowywanego hasła.

350158442897696705

Założenie okazało się błędne. Ian Haken pokazał, żewystarczy zestawić fałszywy kontroler domeny o takiej samej nazwie,z jakiej korzysta komputer ofiary. Następnie na kontrolerze należyzałożyć konto użytkownika o takiej samej nazwie jak nazwaużytkownika laptopa, z dowolnym hasłem – ale datą utworzeniadaleko w przeszłości. Uzyskanie tych danych nie było trudne,ponieważ zarówno domena jak i nazwy użytkowników pojawiają sięw jawnej formie w komunikacji po protokołach DNS i Kerberos, możnawydobyć je z ruchu sieciowego.

350158442897827777

W momencie próby uwierzytelnienia przez hasło napastnika nalaptopie ofiary, kontroler domeny poinformuje Windows, że hasłowygasło – i użytkownik zostanie poproszony o jego zmianę. Dziejesię to przed sprawdzeniem, czy dany komputer jest zarejestrowany wdanym kontrolerze. W tym momencie napastnik może więc założyćnowe hasło na laptopie, które zastąpi hasło oryginalne w lokalnymbuforze

Teraz pozostaje jedynie odłączyć fałszywy kontroler, zmuszającsystem do lokalnego uwierzytelniania, za pomocą hasła ustalonegoprzez napastnika – i otrzymujemy pełen dostęp do danych nakomputerze, nawet jeśli zostały zabezpieczone BitLockerem.

Atak taki można było przeprowadzić od dawien dawna, lukawystępuje od czasów Windows 2000. Przed wydaniem Windows Visty niemiało to takiego znaczenia, gdyż i tak napastnik mógł uzyskaćdostęp do danych na komputerze, korzystając np. z systemuoperacyjnego uruchamianego z pendrive'a. Gdy jednak zaczętokorzystać z BitLockera, który przechowuje swój klucz w bezpiecznymkomponencie sprzętowym (czipie TPM), fizyczny dostęp przestałwystarczyć. Napastnik musiał znaleźć sposób na odszyfrowaniedysku i obejście uwierzytelnienia, na co właśnie pozwalaprzedstawiony przez Hakena atak.

Badacz zauważa, że BitLocker pozwalał na wzmocnieniezabezpieczeń, wykorzystując oprócz TPM także kod PIN lub klucz nanośniku USB, ale korzystano z tego rzadko – utrudniało to pracęzarówno użytkownikom, jak i administratorom.

W szczegółach z tą metodą ataku możecie zapoznać się zartykułupt. Bypassing local Windows Authentication to defeat full diskencryption. Pozostaje pytanie, w ilu firmach nie zastosowanołatki MS15-122, i ile służb specjalnych na świecie metodę tęznało wcześniej.

Programy

Aktualizacje
Aktualizacje
Nowości
Udostępnij:
Wybrane dla Ciebie
Komentarze (32)