Omgå Bitlocker med en logisk analysator

Sikkerhetsingeniør [Guillaume Quéré] bruker dagen på penetrasjonstesting av systemer for sin arbeidsgiver og har påpekt og utnyttet en ganske åpenbar svakhet i BitLocker fullt volum kryptering system, som som den linkede artikkelen sier, lar en enkelt snuse trafikken mellom den diskrete TPM-brikken og CPU via en SPI-buss. Måten Bitlocker fungerer på er å bruke en privat nøkkel lagret i TPM-brikken for å kryptere hele volumnøkkelen som igjen ble brukt til å kryptere volumdataene. Alt dette gjøres av enhetsdrivere på lavt nivå i Windows-kjernen og er gjennomsiktig for brukeren.

Hele poenget med BitLocker var å forhindre tilgang til data på det sikrede volumet i tilfelle fysisk enhetstyveri eller tap. Bare å trekke stasjonen og slippe den inn i en ikke-sikret maskin eller en annen adapter vil ikke gi noen data uten nøkkelen som er lagret av TPM. Men siden den nøkkelen må gå som klartekst fra TPM til CPU under oppstartssekvensen, viser [Guillaume] at det er ganske enkelt – med svært rimelige verktøy og gratis programvare – å ganske enkelt finne og snuse ut denne TPM-to -CPU-transaksjon og dekode datastrømmen og finn nøkkelen. Ved å bruke litt mer enn en cheapo logikkanalysator koblet til noen praktiske store pinner på en nærliggende flash-brikke (fordi SCK-, MISO- og MOSI-pinnene deles med TPM) ble den enkle TIS dekodet nok til å låse seg til bytene til TPM ramme. Dette kan deretter dekodes med en TPM-strømdekoder nettapp, med tillatelse fra TPM2-programvaregruppe. Kommandoen du skal se etter er TPM_CC.Unseal som er forespørselen fra CPU til TPM om å sende over den nøkkelen vi er interessert i. Etter det vil bare gripe og dekode TPM-svarrammen umiddelbart avsløre varene.

Hva du gjør videre er et spørsmål om bekvemmelighet, men de fleste sikkerhets- og etterforskningstyper vil allerede sitte tett på en diskbildefil på lavt nivå av målvolumet. Ved å bruke Linux xxd kommando for å gjøre den 32-byte sekskantede dump-nøkkelen til en binær nøkkelfil, den dislocker-sikring FUSE-modul kan lage et dynamisk dekryptert virtuelt filsystem som du bare kan montere. Hvis du ville, kan du skrive de dekrypterte volumdataene til en ny disk, slippe den inn i en maskin og starte operativsystemet. Du kunne sannsynligvis ikke logge på, men som [Guillaume] påpeker, ved å overskrive sticky keys-appen (sethc.exe) med cmd.exe, kan du komme til en ledetekst bare ved å banke på shift-tasten fem ganger. Gode ​​tider!

Hvis du faktisk trenger TPM-støtte for et eldre system, for å installere Windows 11 (hvis du virkelig må), så du kan alltid bare lage din egen. Også, siden LPC-grensesnittet er på mange hovedkort, hvorfor ikke utnytte det og bruk den til å henge en ISA-bussadapter å plugge inn det gamle klassiske Soundblaster-kortet du ikke orket å være useriøst?

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Bil / elbiler, Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• ChartPrime. Hev handelsspillet ditt med ChartPrime. Tilgang her.
• BlockOffsets. Modernisering av eierskap for miljøkompensasjon. Tilgang her.
• kilde: https://hackaday.com/2023/08/25/bypassing-bitlocker-with-a-logic-analzyer/