YouTuber verbreekt de BitLocker-codering in minder dan een minuut met een Raspberry Pi Pico van $ 5

De BitLocker-versleuteling van Microsoft is een van de gemakkelijker verkrijgbare versleutelingsoplossingen waarmee gebruikers gegevens veilig kunnen versleutelen en beschermen tegen bedreigingsactoren. Het lijkt er echter op dat BitLocker niet zo veilig is als mensen misschien denken.

Eerder deze week plaatste YouTuber Stacksmashing een video waarin hij liet zien hoe hij de BitLocker-gegevens kon onderscheppen en de coderingssleutels kon stelen, waardoor hij gegevens kon ontsleutelen die op het systeem waren opgeslagen. Niet alleen dat, maar hij behaalde de resultaten in 43 seconden met behulp van een Raspberry Pi Pico die waarschijnlijk minder dan $ 10 kost.

Om de aanval uit te voeren, maakte hij gebruik van de Trusted Platform Module of TPM. Op de meeste computers en drukke laptops bevindt TPM zich extern en gebruikt het de LPC-bus om gegevens van de CPU te verzenden en te ontvangen. Microsoft’s BitLocker vertrouwt op TPM om kritieke gegevens op te slaan, zoals platformconfiguratieregisters en volumemastersleutel.

Bij het testen van stacksmashing bleek dat de LPC-bus met de CPU communiceert via communicatiebanen die bij het opstarten niet-versleuteld zijn en kunnen worden afgeluisterd om kritieke gegevens te stelen. Hij voerde de aanval uit op een oude Lenovo-laptop met een ongebruikte LPC-connector op het moederbord naast het M.2 SSD-slot. stacksmashing verbond een Raspberry Pi Pico met de metalen pinnen op de ongebruikte connector om de coderingssleutels vast te leggen bij het opstarten. De Raspberry Pi was ingesteld om de binaire nullen en enen van TPM vast te leggen terwijl het systeem aan het opstarten was, waardoor hij de Volume Master Key kon samenstellen. Toen hij klaar was, haalde hij de gecodeerde schijf tevoorschijn en gebruikte dislocker met de Volume Master Key om de schijf te decoderen.

Microsoft merkt op dat deze aanvallen mogelijk zijn , maar zegt dat hiervoor geavanceerde tools en langdurige fysieke toegang tot het apparaat nodig zijn. Zoals echter in de video te zien is, kan iemand die bereid is een aanval uit te voeren dit in minder dan een minuut doen.

Hierbij zijn echter enkele kanttekeningen te plaatsen die in gedachten moeten worden gehouden. Deze aanval kan alleen werken met externe TPM-modules waarbij de CPU gegevens uit de module op het moederbord moet halen. Veel nieuwe laptops en desktop-CPU’s worden nu geleverd met fTPM, waarbij de kritieke gegevens in de CPU zelf worden opgeslagen en beheerd. Dat gezegd hebbende, raadt Microsoft wel aan een BitLocker-pincode in te stellen om deze aanvallen te stoppen, maar dit is niet eenvoudig omdat u een groepsbeleid moet instellen om een ​​pincode te configureren.