BlueHat v18 || An Ice Cold boot to break bitlocker
جدول المحتويات:
يجب على الشركات التي تعتمد على Microsoft BitLocker لتشفير محركات الأقراص الخاصة بأجهزة الكمبيوتر الخاصة بهم أن تقوم بتثبيت أحدث تصحيحات Windows على الفور. كشف أحد الباحثين عن تجاوز مصادق Windows تافه ، تم إصلاحه في وقت سابق من هذا الأسبوع ، والذي يضع البيانات على محركات الأقراص المشفرة باستخدام BitLocker في خطر.
إيان هاكين ، الباحث في شركة اختبار البرمجيات الأمنية Synopsys ، أثبتت الهجوم يوم الجمعة في أمن Black Hat Europe مؤتمر في أمستردام. تؤثر المشكلة على أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows والتي تعد جزءًا من مجال ، وهو تكوين شائع على شبكات المؤسسات.
عند استخدام المصادقة المستندة إلى المجال على نظام التشغيل Windows ، يتم تحديد كلمة مرور المستخدم في مقابل جهاز كمبيوتر يعمل كوحدة تحكم بالمجال. ومع ذلك ، في الحالات التي يتم فيها ، على سبيل المثال ، أخذ جهاز كمبيوتر محمول خارج الشبكة ولا يمكن الوصول إلى وحدة تحكم المجال ، تعتمد المصادقة على ذاكرة تخزين بيانات اعتماد محلية على الجهاز.
[المزيد من القراءة: كيفية إزالة البرامج الضارة من Windows الخاص بك الكمبيوتر الشخصيلمنع أحد المهاجمين من توصيل جهاز كمبيوتر محمول مسروق أو مفقود أو غير مراقب بشبكة مختلفة وإنشاء وحدة تحكم مجال مخادعة تقبل كلمة مرور أخرى لإلغاء تأمينها ، يتحقق بروتوكول المصادقة أيضًا من تسجيل الجهاز نفسه وحدة تحكم المجال باستخدام كلمة مرور جهاز منفصلة.
لا يحدث هذا التحقق الإضافي عندما يتعذر الوصول إلى وحدة تحكم ، لأن مطوري البروتوكول افترضوا أن المهاجم لا يمكن تغيير كلمة مرور المستخدم المخزنة في ذاكرة التخزين المؤقت المحلية. ومع ذلك ، فقد توصل Haken إلى طريقة للقيام بذلك ، ويستغرق الأمر بضع ثوانٍ فقط إذا كانت آلية.
Ian Haken يقدم في Black Hat Europe في أمستردام في 13 نوفمبر 2015.
كيف يعمل
أولاً ، يقوم المهاجم بإعداد وحدة تحكم مجال وهمي بنفس الاسم الذي من المفترض أن يتصل به الكمبيوتر المحمول. ثم يقوم بإنشاء حساب المستخدم نفسه على وحدة التحكم كما في الكمبيوتر المحمول وإنشاء كلمة مرور له مع تاريخ إنشاء في الماضي.
عند محاولة المصادقة باستخدام كلمة مرور المهاجم على الكمبيوتر المحمول ، ستقوم وحدة التحكم بالمجال بإعلام Windows أن كلمة المرور قد انتهت صلاحيتها وسيُطالب المستخدم تلقائيًا بتغييرها. يحدث هذا قبل التحقق من أن الجهاز مسجل أيضًا على وحدة التحكم.
في هذه المرحلة ، سيكون لدى المهاجم القدرة على إنشاء كلمة مرور جديدة على الكمبيوتر المحمول ، والتي ستحل محل الجهاز الأصلي في ذاكرة بيانات الاعتماد المحلية.
ستظل عملية تسجيل الدخول أثناء الاتصال بوحدة تحكم المجال المارقة تفشل ، لأن وحدة التحكم لا تحتوي على كلمة مرور الجهاز. ومع ذلك ، يمكن للمهاجم فصل الكمبيوتر المحمول عن الشبكة من أجل فرض التراجع إلى المصادقة المحلية ، والتي سوف تنجح الآن لأنه يتم التحقق من كلمة مرور المستخدم فقط ضد ذاكرة التخزين المؤقت.
هذا هو الخلل المنطق الذي كان في المصادقة بروتوكول منذ ويندوز 2000 ، وقال الباحث. ومع ذلك ، لم يتم استخدام الوصول الفعلي ليكون جزءًا من نموذج تهديد Windows ، لأنه في مثل هذه الحالة يمكن أن يقوم المهاجم بالتمهيد من مصدر بديل ، مثل قرص مضغوط لينكس مباشر للوصول إلى البيانات على أي حال.
تغير كل ذلك عند BitLocker تم تقديمه في ويندوز فيستا. تم تصميم تقنية تشفير القرص الكامل من Microsoft ، والتي تتوفر في إصدارات Professional و Enterprise من Windows ، خصيصًا لحماية البيانات في حالة سرقة جهاز كمبيوتر أو فقد كلمات أخرى عندما يكون لدى شخص غير مصرح له إمكانية الوصول الفعلي إليه.
يخزن BitLocker مفتاح تشفير البيانات في الوحدة النمطية للنظام الأساسي الموثوق به (TPM) ، وهو مكون آمن للمكونات يقوم بعمليات تشفير. تم إلغاء المفتاح من TPM فقط إذا تم اتباع نفس عملية التمهيد عند تنشيط BitLocker لأول مرة.
يتم التحقق من المراحل المختلفة لعملية التمهيد مشفرة ، لذلك لن يتمكن المهاجم الذي يتمتع بوصول فعلي إلى كمبيوتر محمول يدعم BitLocker من التمهيد من نظام تشغيل بديل لقراءة البيانات المخزنة على محرك الأقراص الخاص به. الاحتمال الوحيد المتبقي للمهاجم في هذه الحالة هو التمهيد بشكل طبيعي لإلغاء قفل مفتاح التشفير ثم تجاوز مصادقة Windows للوصول إلى البيانات التي يسمح بها هجوم Haken.
قامت Microsoft بإصلاح الثغرة الثلاثاء ونشرت نشرة الأمن MS15-122.
يوضح هذا الهجوم أنه عندما يتعلق الأمر بالأمن ، نحتاج باستمرار إلى إعادة فحص الحقائق القديمة.
يوفر BitLocker خيارًا لتمكين مصادقة التمهيد المسبق باستخدام PIN أو محرك أقراص USB مع مفتاح خاص على ذلك ، بالإضافة إلى TPM. ومع ذلك ، فإن مثل هذه التهيئات هي من الصعب بيعها للمؤسسات ، لأنها تدخل الاحتكاك للمستخدمين وتجعل من الصعب على المسؤولين إدارة أجهزة الكمبيوتر عن بعد.
في وثائقها الخاصة ، تعترف شركة Microsoft بأن مصادقة التمهيد المسبق "غير مقبولة في العصر الحديث" عالم تكنولوجيا المعلومات ، حيث يتوقع المستخدمون تشغيل أجهزتهم على الفور وتتطلب تقنية المعلومات من أجهزة الكمبيوتر أن تكون متصلة باستمرار بالشبكة. "
يمكن التغلب على تشفير BitLocker باستخدام مصادقة Windows تافهة
كشف أحد الباحثين عن تجاوز مصادقة Windows تافهاً يضع البيانات على أجهزة الكمبيوتر المحمولة المشفرة باستخدام BitLocker عند المخاطرة.
كيف يمكن لشرائح Intel Core وأجهزة Lenovo أن تستحوذ على مصادقة ثنائية من هاتفك
8 من Intel الجيل تشمل رقائق Core القدرة على توفير مصادقة ثنائية من الكمبيوتر الشخصي ، بدون هاتف. لدى لينوفو الآن العديد من أجهزة الكمبيوتر التي تدعم هذه الميزة.
