Méthode de dump mémoire pour contourner BitLocker sur Windows 11

 (noinitrd.github.io)
2 points par GN⁺ 2025-01-01 | 1 commentaires | Partager sur WhatsApp

  • Introduction

    • Cet article explique une méthode pour contourner le chiffrement BitLocker sur Windows 11 (version 24H2). Elle consiste à extraire depuis la mémoire la clé de chiffrement complète du volume (FVEK).

  • Contexte

    • Si un attaquant peut accéder physiquement à l’appareil, il peut redémarrer brusquement l’ordinateur et dumper la RAM de la dernière instance Windows exécutée afin d’obtenir des informations sensibles.
    • Le contenu de la RAM se dégrade rapidement une fois l’alimentation coupée ; pour l’éviter, il existe des méthodes comme le refroidissement physique de la RAM ou l’utilisation d’une source d’alimentation externe.
    • Le démarrage sécurisé est une norme de sécurité qui limite ce qui peut s’exécuter au démarrage de l’appareil, mais il existe des moyens de le contourner.

  • Étape 1 : créer un périphérique USB bootable

    • Il faut préparer un périphérique de stockage USB plus grand que la RAM du système cible.
    • Le script flashimage.sh est utilisé pour créer et utiliser l’application bootable.

  • Étape 2 : redémarrage brutal du système cible

    • L’objectif est de minimiser le temps pendant lequel l’ordinateur est complètement hors tension.
    • Pendant le chargement de Windows, il est efficace de redémarrer le système avant l’apparition de l’écran de connexion.

  • Étape 3 : démarrer depuis le périphérique USB

    • Démarrer immédiatement depuis le périphérique USB vers Memory-Dump-UEFI afin d’atteindre le shell UEFI.
    • Exécuter app.efi pour générer un dump mémoire.

  • Étape 4 : analyse du dump

    • En raison de la limite de 4 Go par fichier du système de fichiers FAT32, plusieurs dumps peuvent être générés.
    • Le programme concatDumps permet de fusionner plusieurs dumps en un seul.
    • Le programme searchMem permet de rechercher des motifs spécifiques dans le dump.

  • Pool tags

    • Les pool tags sont des identifiants de 4 caractères indiquant l’emplacement du pool mémoire du noyau Windows.
    • Le fichier pooltag.txt contient différents pool tags et leur rôle.

  • Récupération de la clé FVEK

    • La clé FVEK peut être trouvée sous le pool tag dFVE, lié au filtre de dump de crash de chiffrement complet de volume du chiffrement de lecteur BitLocker.
    • La clé peut aussi être trouvée sous le tag None.

  • Étapes suivantes

    • Il faut ajouter l’algorithme utilisé avec la clé obtenue.
    • L’outil dislocker permet de déverrouiller le lecteur.

  • Note finale

    • Pour comprendre l’implémentation de BitLocker, il est préférable d’effectuer un débogage au niveau du noyau.
    • Microsoft essaie de détruire les clés, mais ne parvient pas à toutes les détruire.

À lire aussi

1 commentaires

 
GN⁺ 2025-01-01
Avis Hacker News

  • BitLocker offre son plus grand intérêt lorsqu’il est utilisé avec le TPM (PCR 7+11) et un PIN. Sans PIN, il est impossible de lire la FVEK, et après trop de saisies erronées du PIN, le TPM passe en mode de verrouillage contre les attaques par dictionnaire

    • Tentative en cours de mise en place d’une configuration similaire sous Linux ; systemd-cryptsetup/cryptenroll étant réservés à LUKS, l’idée est d’utiliser fscrypt pour chiffrer des répertoires sensibles
    • Le TPM devient très difficile à utiliser dès qu’on veut faire plus que le strict minimum
    • C’est un projet personnel, et un article sera écrit une fois terminé

  • Le modèle de sécurité de BitLocker n’est pas bien compris. Dans la plupart des installations, il suffit d’appuyer sur le bouton d’alimentation pour démarrer Windows

    • Si quelqu’un vole une machine avec un disque dur chiffré, la question est de savoir s’il suffit simplement de l’allumer
    • On suppose que le trafic sur le bus SPI devrait être chiffré, mais il semble que la machine fournisse assez facilement la clé
    • LUKS affiche une invite demandant un mot de passe pour déverrouiller le disque

  • Une attaque spécifique est entièrement contrée par la spécification d’atténuation des attaques de réinitialisation de plateforme pour les groupes de travail clients PC

    • Si le système d’exploitation ne s’arrête pas proprement, le firmware efface la RAM et s’interrompt avant le prochain démarrage
    • On se demande si Windows n’utilise pas cela, ou si le système testé ne l’implémentait pas

  • L’auteur de l’article dit être disponible par message pour répondre aux questions. Le travail était amusant et merci pour l’intérêt porté au sujet

  • Il existe une présentation du 38C3 sur le contournement de BitLocker sous Windows 11

  • Il existe des machines « enterprise » où un adversaire quelconque disposant d’un accès physique ne peut pas provoquer de « redémarrage brutal » depuis l’extérieur

    • Il est regrettable que des OEM largement utilisés permettent encore aussi facilement ce type de « redémarrage brutal »

  • BitLocker ne protège que lorsque l’ordinateur est éteint, et il faut le configurer pour exiger un mot de passe au démarrage

  • Windows propose des options de chiffrement de la mémoire et de compression de la mémoire

    • Intel et AMD travaillent à intégrer cela dans le CPU, avec pour cible non pas les ordinateurs portables mais les serveurs hébergeant plusieurs VM

  • À propos d’un exploit qui lit le dump mémoire de la machine visée, la question est de savoir si, avec un accès physique, un dispositif « interposer » pourrait copier ou modifier les données

    • On se demande s’il serait possible de modifier la mémoire comme avec un périphérique « Action Replay » sur Game Boy
    • On se demande s’il serait possible d’insérer un dispositif entre la RAM et la carte mère afin de capturer l’état de la mémoire
    • N’étant pas électronicien, l’idée est peut-être irréaliste, mais il semble qu’il y aurait des contraintes d’espace physique et de bande passante

  • Un Surface 5 Pro avec disque chiffré par BitLocker bascule très rapidement sur un BSOD pendant le démarrage

    • On se demande si cela pourrait fonctionner dans ce cas, et on attend un exploit permettant d’extraire des photos du disque