Lenovo dizüstü bilgisayarda ucuz bir mantık analizörü kullanarak BitLocker'ı atlatmak

 (errno.fr)
1 puan yazan GN⁺ 2023-08-25 | 1 yorum | WhatsApp'ta paylaş
  • Lenovo dizüstü bilgisayarda Microsoft Windows'un tam hacim şifreleme özelliği olan BitLocker'ın nasıl atlatılabildiğine dair bir makale
  • BitLocker'ın tam hacim şifreleme anahtarı (FVEK), hacim ana anahtarı (VMK) ile şifrelenerek diskte saklanır. VMK, Güvenilir Platform Modülü'nde (TPM) tutulur; böylece disk yalnızca aynı bilgisayarda önyükleme yapılırken çözülebilir.
  • Zafiyet, önyükleme sürecinde VMK'nın TPM ile CPU arasında şifrelenmemiş halde aktarılmasından kaynaklanıyor; bu veri yakalanıp diskin şifresini çözmek için kullanılabiliyor.
  • Yazar, 2021'de 100 doların altında satın aldığı DSLogic Plus mantık analizörünü kullanarak TPM alışverişini yakaladı.
  • Sinyalleri rahatça elde etmek için SPI (Serial Peripheral Interface) veri yolu en az 100MHz frekansta örneklendi.
  • VMK anahtarının POST aşamasının sonlarına doğru, yani önyükleme sürecinin yaklaşık 14. saniyesinde kullanıldığı ortaya çıktı.
  • Yakalanan sinyaller üç katmanda çözümlendi: SPI, TIST (TPM Interface Specification) ve TPM 2.0.
  • Anahtarın döndürülmesini isteyen TPM komutu TPM2_Unseal komutuydu ve VMK bu şekilde elde edildi.
  • Disk daha sonra bağlandı ve Sticky Keys programı cmd ile üzerine yazılarak bir arka kapı yerleştirildi; önyükleme sırasında Shift tuşuna beş kez basıldığında SYSTEM shell sağlıyor.
  • Yazar, bu iş için DSLogic kullanmanın zorlayıcı olduğunu belirtiyor; çünkü birçok yakalama hatalıydı ve örnekleme frekansı ancak tutarlı bir saat sinyali sağlayabiliyordu.
  • Makale, ayrık (fiziksel) TPM kullanımının beklendiği gibi sistem güvenliğini artırmadığı, bunun yerine bir güvenlik yanılsaması yarattığı sonucuna varıyor. Bu saldırıya karşı savunma için firmware TPM (fTPM) kullanılması veya BitLocker için PIN ya da parola ayarlanması öneriliyor.

İlgili okumalar

1 yorum

 
GN⁺ 2023-08-25
Hacker News yorumu
  • BitLocker açığına dair tartışma; Microsoft'un disk şifreleme aracı ve Lenovo dizüstü bilgisayarlarda ucuz bir mantık analizörü kullanılarak saldırı yapılabilmesi
  • BitLocker, şifreli bir oturum kullanmadığı için Man-in-the-Middle (MITM) saldırılarına karşı savunmasız
  • Microsoft TPM2_StartAuthSession'ı uygulayıp her oturum komutu için şifreleme belirtirse sorun çözülebilir
  • Bazı dizüstü bilgisayar üreticileri, dizüstü açıldığında Trusted Platform Module (TPM)'yi silen bir ayar sunuyor; bu da BitLocker anahtarına veya yedeğine erişemeyen kullanıcılar için sorun yaratabiliyor
  • Microsoft belgeleri, TPM kaba kuvvet saldırılarını önlediği için bu tür saldırıları engellemek amacıyla BitLocker PIN'i ayarlanmasını öneriyor
  • BitLocker'ın şifrelemesi, sabit diski dizüstü bilgisayardan çıkarıp başka bir sistemde çalıştırma girişimlerine karşı etkili
  • Şifre çözme anahtarı paylaşılan veri yolu üzerinden taşınıyor; sistemdeki tüm bileşenler anahtarı ele geçirebilir, bu da tedarik zinciri güvenliği riski yaratıyor
  • Hırsızlığı önlemek için kullanıcıların BitLocker için bir parola belirlemesi ve uyku dışı modları devre dışı bırakması gerekiyor
  • BitLocker açığından yararlanan aynı teknik 2021'de de açıklanmıştı
  • Bazı kullanıcılar, Windows güvenlik önlemlerini aşmanın eski yöntemlerinin hâlâ işe yaramasını eğlenceli buluyor; bunun da Windows güvenliğinin büyük ölçüde göstermelik olduğunu ima ettiğini söylüyor