Verschlüsselung: Windows-Verschlüsselung Bitlocker trotz TPM-Schutz umgangen
Der Sicherheitsfirma Dolos Group ist es gelungen, über einen verschlüsselten Laptop eines Angestellten ins Firmennetzwerk gelangen. Hierzu musste sie in einem ersten Schritt die Windows-Verschlüsselung Bitlocker umgehen. Das gelang über das physische Abfangen des Schlüssels, der in einem TPM-Sicherheitschip hinterlegt war.
Der Lenovo-Laptop war mit den Standard-Sicherheitsmaßnahmen des geprüften Unternehmens ausgerüstet, dazu gehörten passwortgeschützte Bios-Einstellungen sowie eine TPM-gesicherte Bitlocker-Verschlüsselung. Im Bios waren Angriffsvektoren wie das Auslesen des Arbeitsspeichers per DMA (Direct Memory Access) durch die VT-d-Bios-Einstellung blockiert. Auch Secureboot war aktiviert sowie die Boot-Reihenfolge gesperrt.
"Da nichts anderes funktionierte, war der letzte Punkt, TPM-gesichertes Bitlocker, unser Weg ins System," schreibt die Sicherheitsfirma. Dabei stellten sie fest, dass der Laptop trotz Verschlüsselung in den Windows-10-Anmeldebildschirm bootet. Das bedeutet, dass der Verschlüsselungskey direkt von dem TPM abgerufen wird - ohne Passwortschutz. Das sei die Standardeinstellung für Bitlocker, heißt es in dem Blogbeitrag der Dolos Group(öffnet im neuen Fenster) .
In unter 30 Minuten lässt sich der Verschlüsselungskey abgreifen
Um sich gegen "Angreifer mit Geschick und langwierigem physischen Zugang" zu schützen, empfiehlt Microsoft(öffnet im neuen Fenster) , eine PIN zu setzen. Doch ein solch langwieriger Angriff sei in weniger als 30 Minuten ohne zu löten und mit relativ billiger Hardware zu schaffen - sofern keine PIN gesetzt wurde, wie die Dolos Group zeige. Dazu müsse der Laptop aufgeschraubt und der Key für die Verschlüsselung auf dem Weg zwischen TPM und Prozessor abgefangen werden - ein sogenannter Evil-Maid-Angriff.
Das sei möglich, da "Bitlocker keine verschlüsselten Kommunikationsfunktionen des TPM 2.0-Standards" nutze. Entsprechend werde der Verschlüsselungskey unverschlüsselt über den SPI-Bus gesendet und könne beispielsweise an den Kontakten des TPMs abgefangen werden.
Allerdings waren die Kontakte so klein, dass die Angestellten der Sicherheitsfirma nach einem einfacheren Weg suchten. Häufig teilen sich mehrere Chips den gleichen SPI-Bus, entsprechend können die Daten auch an den Kontakten eines anderen Chips abgefangen werden. In diesem Fall sei dies an dem CMOS-Chip möglich gewesen, der mit die größten Kontakte auf der Platine habe, heißt es in dem Blogeintrag.
Den Bitlocker-Key am CMOS-Chip abfangen
Mit Klammern an den Kontakten fingen die Forscher eine Menge Daten ab, aus denen sie letztlich den Verschlüsselungskey für Bitlocker herauslesen konnten. Mit diesem war es möglich, die verbaute SSD an einem anderen Rechner zu entschlüsseln und zu mounten. Anschließend konnten sie auf die dort gespeicherten Daten auf der SSD gelangen und beispielsweise die VPN-Konfiguration extrahieren und sich in das Netzwerk der Firma einwählen.
Für den Sicherheitsforscher Matthew Garrett(öffnet im neuen Fenster) ist der Angriff ein Beispiel dafür, dass hardwaregestützte Festplattenverschlüsselung nicht alle Probleme löst. Vielmehr müsse der TPM-gesicherte Schlüssel zusätzlich mit einem Passwort geschützt werden, schreibt Garrett. Zudem wirft er die Frage auf, warum Microsoft den Schlüssel unverschlüsselt übertrage. Zwar schütze ein verschlüsselter Austausch des Keys nicht absolut, er erschwere den Angriff jedoch deutlich.