Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Sicherheitslücke: Wie ein zwei Jahre alter Bug Bitlocker in Windows 11 umgeht

38C3
Microsoft sieht Bitlocker als sichere Methode für das Verschlüsseln von Laufwerken an. Offenbar ist das wohl nicht ganz die Wahrheit.
/ Oliver Nickel
16 Kommentare News folgen (öffnet im neuen Fenster)
Windows 11 ist manchmal wohl doch nicht so sicher, wie es Microsoft gern will. (Bild: Pixabay.com)
Windows 11 ist manchmal wohl doch nicht so sicher, wie es Microsoft gern will. Bild: Pixabay.com / Pixabay-Inhaltslizenz

Microsofts Verschlüsselungstechnik Bitlocker soll gespeicherte Daten vor dem Zugriff fremder und potenziell böswilliger Parteien schützen. Allerdings ist das System nicht komplett sicher. So haben Security-Forscher Bitlocker bereits für Angriffe auf Windows verwendet. Im Rahmen des 38C3 hat der Sicherheitsforscher Thomas Lambertz einen neuen Angriff auf die Verschlüsselungssoftware gezeigt. Der vollständige Prozess ist in einem Video(öffnet im neuen Fenster) zu sehen.

Das Besondere: Dafür muss ein Zielgerät nicht geöffnet werden, obwohl dies sicherlich von Vorteil ist. Denn der Angriff ist über einen Arbeitsspeicher-Dump möglich, der noch vor dem eigentlichen Bootprozess von Windows ausgeführt wird. Dabei wird der Computer abrupt ausgeschaltet und in den Wiederherstellungsmodus versetzt. Das Ziel ist es dabei, den seit 2022 bekannten Bitpixie-Bug ( CVE-2023-21563(öffnet im neuen Fenster) ) auszunutzen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Softwareentwickler:in / Programmierer:in (w/m/d) in der Projektförderung Projektträger Jülich, Jülich (öffnet im neuen Fenster)
IT-Expert/in -Linux Anwendungsadministration (w/m/d) Bundesinstitut für Risikobewertung (BfR), Berlin (öffnet im neuen Fenster)
SAP-Projektmitarbeiter (m/w/d) Schwerpunkt Business Technology Platform (BTP) EITEC GmbH, Schweitenkirchen (öffnet im neuen Fenster)
Werkstudent Digitalisierung & Projektmanagement (m/w/d) rhenag Rheinische Energie AG, Köln (öffnet im neuen Fenster)
CAD/CAM-Engineer / Arbeitsvorbereiter / Techniker / Mechatroniker (m/w/d) contag AG, Berlin (öffnet im neuen Fenster)
Informatiker/in für Projektmanagement (w/m/d) Bundesinstitut für Risikobewertung (BfR), Berlin (öffnet im neuen Fenster)
Organisationstalent - Office-Administrator* in Sozialdienst und Kundenservice (m/w/d) Pfennigparade Vivo GmbH, München (öffnet im neuen Fenster)
IT-Projektleiter (all genders) MEGLA GmbH, Berlin (öffnet im neuen Fenster)

Durch diesen Bug, der offensichtlich noch immer funktioniert, können Bitlocker-Schlüssel aus dem RAM unter bestimmten Bedingungen ausgelesen werden. Denn Bitlocker entschlüsselt ein Laufwerk mit dem passenden Schlüssel, noch bevor das Betriebssystem einen Fehler entdeckt, der einen Bootprozess verhindert. Wird ein Fehler erkannt, dann löscht Windows die Schlüssel im Speicher wieder, allerdings kann dieser Schritt unterbrochen und die im RAM gespeicherten, darunter offene Schlüssel, ausgelesen werden.

Bug mit Einstellungen schließen

Der Microsoft-Bootloader kann nach einem durch die Angreifer hervorgerufenen Fehler etwa in die Wiederherstellung über das Netzwerk booten. Dabei werden die Schlüssel im Speicher nicht gelöscht. So kann im Netzwerk gebooteter Code auf die Schlüssel zugreifen. Lambertz schloss dafür einen zweiten Laptop direkt an den anzugreifenden Computer per Netzwerkkabel an.

Außerdem wird ein älterer, offiziell signierter Windows-Bootloader benötigt, da neuere Versionen den Bitpixie-Bug mitigieren. Ganz einfach ist der Exploit also nicht. Außerdem kann er unter anderem verhindert werden, indem Netzwerk-Bootoptionen im Uefi deaktiviert werden.

Zur Startseite 16 Kommentare

Relevante Themen

38C3SoftwareBetriebssystemeSecuritySicherheitslückeWindows 11UEFIMicrosoft