Contourner BitLocker sur un ноутбук Lenovo à l’aide d’un analyseur logique bon marché

 (errno.fr)
1 points par GN⁺ 2023-08-25 | 1 commentaires | Partager sur WhatsApp
  • Article expliquant comment contourner BitLocker, la fonctionnalité de chiffrement complet de volume de Microsoft Windows, sur un ordinateur portable Lenovo à l’aide d’un analyseur logique bon marché
  • La clé de chiffrement complète du volume (FVEK) de BitLocker est chiffrée avec la clé maîtresse du volume (VMK) et stockée sur le disque. La VMK est stockée dans le module de plateforme sécurisée (TPM), ce qui permet de déchiffrer le disque uniquement lors du démarrage sur le même ordinateur.
  • La vulnérabilité vient du fait que, pendant le processus de démarrage, la VMK est transmise en clair entre le TPM et le CPU, ce qui permet de la capturer et de l’utiliser pour déchiffrer le disque.
  • L’auteur a utilisé un analyseur logique DSLogic Plus acheté en 2021 pour moins de 100 dollars afin de capturer l’échange TPM.
  • Le bus SPI (Serial Peripheral Interface) a été échantillonné à une fréquence minimale de 100 MHz pour acquérir les signaux dans de bonnes conditions.
  • Il a été constaté que la clé VMK était utilisée tard dans l’étape POST, soit environ 14 secondes après le début du processus de démarrage.
  • Les signaux capturés ont été décodés sur trois couches : SPI, TIST (TPM Interface Specification) et TPM 2.0.
  • La commande TPM demandant le renvoi de la clé est TPM2_Unseal, et c’est elle qui a permis d’obtenir la VMK.
  • Le disque a ensuite été monté et une porte dérobée a été installée en remplaçant le programme Sticky Keys par cmd, ce qui fournit un shell SYSTEM lorsqu’on appuie cinq fois sur la touche Maj pendant le démarrage.
  • L’auteur souligne que l’utilisation de DSLogic pour cette opération a été difficile, car de nombreuses captures étaient défectueuses et la fréquence d’échantillonnage ne permettait qu’à peine d’obtenir une horloge cohérente.
  • L’article conclut que l’utilisation d’un TPM discret (physique) n’améliore pas la sécurité du système comme on pourrait l’attendre, mais crée plutôt une illusion de sécurité. Pour se défendre contre cette attaque, il est recommandé d’utiliser un firmware TPM (fTPM) ou de configurer un PIN ou un mot de passe pour BitLocker.

À lire aussi

1 commentaires

 
GN⁺ 2023-08-25
Commentaires Hacker News
  • Discussion sur une vulnérabilité de Bitlocker, l’outil de chiffrement de disque de Microsoft, qui peut être attaqué sur des ordinateurs portables Lenovo à l’aide d’un analyseur logique bon marché
  • Bitlocker n’utilise pas de session chiffrée, ce qui le rend vulnérable aux attaques de type Man-in-the-Middle (MITM)
  • Microsoft pourrait corriger le problème en implémentant TPM2_StartAuthSession et en spécifiant le chiffrement pour chaque commande de session
  • Certains fabricants de PC portables proposent un réglage qui efface le module de plateforme sécurisée (TPM) si l’ordinateur est ouvert, ce qui peut poser problème aux utilisateurs qui n’ont pas accès à leur clé Bitlocker ou à leur sauvegarde
  • La documentation de Microsoft recommande de configurer un code PIN Bitlocker pour prévenir ce type d’attaque, car le TPM empêche les attaques par force brute
  • Le chiffrement de Bitlocker est efficace contre les tentatives consistant à extraire le disque dur d’un portable pour l’utiliser sur un autre système
  • La clé de déchiffrement transite par un bus partagé, ce qui permet potentiellement à tout composant du système de l’intercepter et crée un risque de sécurité de la chaîne d’approvisionnement
  • Pour se protéger contre le vol, les utilisateurs devraient définir un mot de passe pour Bitlocker et désactiver les modes autres que l’arrêt complet
  • La même technique exploitant cette faiblesse de Bitlocker avait déjà été décrite en 2021
  • Certains utilisateurs trouvent amusant que d’anciennes méthodes de contournement des mesures de sécurité de Windows fonctionnent encore, ce qui suggère que la sécurité de Windows est en grande partie théâtrale