image

Windows-lek maakte ontsleutelen BitLocker mogelijk

woensdag 11 november 2015, 10:40 door Redactie, 4 reacties

Een beveiligingslek in Windows dat Microsoft deze maand patchte maakte het in bepaalde gevallen voor aanvallers mogelijk om harde schijven die met BitLocker waren versleuteld te ontsleutelen. BitLocker is de encryptiesoftware van Microsoft die op bepaalde versies van Windows aanwezig is.

Om toegang tot versleutelde harde schijven te krijgen zijn er verschillende opties, zoals het gebruik van een pincode, usb-sleutel of Trusted Platform Module (TPM). In Windows bevond zich echter een kwetsbaarheid waardoor een aanvaller de Kerberos-authenticatie kon omzeilen en op aangevallen computers de door BitLocker versleutelde harde schijven kon ontsleutelen.

In het geval van de nu verholpen kwetsbaarheid kon een aanvaller hier alleen misbruik van maken als het aangevallen systeem BitLocker zonder pincode of usb-sleutel gebruikte, de computer zich in een domein bevond én de aanvaller fysieke toegang tot de machine had. Volgens Microsoft zijn er geen gevallen bekend waarbij de kwetsbaarheid ook daadwerkelijk is aangevallen. Om het probleem op te lossen is Microsoft Security Bulletin MS15-122 verschenen.

Reacties (4)
11-11-2015, 12:21 door Anoniem
wat wordt er onder 'aangevallen computers' verstaan? Computers die al geïnfecteerd zijn en de kwaadwillende al toegang tot heeft?
11-11-2015, 14:07 door Erik van Straten - Bijgewerkt: 11-11-2015, 14:08
Uit https://technet.microsoft.com/library/security/MS15-122:
Door Microsoft, November 10, 2015 V1.0: Mitigating Factors
The following mitigating factors may be helpful in your situation:
- This bypass can be exploited only if the target system has BitLocker enabled without a PIN or USB key.
- A domain user must be logged on to the target machine for the attack to succeed.

Hoewel ik geen fan ben van Bitlocker (zie https://www.security.nl/posting/408404/Juridische+vraag%3A+mag+je+encryptiesoftware+zonder+vergunning+aanbieden%3F#posting408486) lijkt met name dat tweede punt een verzachtende omstandigheid. Die geldt natuurlijk alleen als een aanvaller, die het device fysiek in handen gekregen heeft, geen wachtwoord of USB sleutel nodig heeft om de schijf te decrypten (ik weet niet hoe Bitlocker, bij volledige schrijfversleuteling, omgaat met wakker worden uit hibernation of sleep mode).

M.a.w. als je het device altijd uitzet middels "shut down", en vervolgens om te kunnen booten een fatsoenlijk wachtwoord in moet voeren, ben je kennelijk niet kwetsbaar voor dit "lek".

Nb. dit lek toont wel aan hoe belachelijk het advies in http://blogs.technet.com/b/askpfeplat/archive/2014/07/14/bitlocker-pin-on-surface-pro-3-and-other-tablets.aspx is om op tablets met Bitlocker geen pre-boot pincode te gebruiken. Het ding start dan, ook in de handen van een aanvaller, meteen op waarmee het aanvalsoppervlak aanzienlijk is vergroot. Dit soort lekken geven vervolgens toegang tot de op tablet opgeslagen informatie, en waarschijnlijk ook tot via gebruiker-accounts op servers/in cloud opgeslagen informatie.

Ik ben benieuwd hoe lang het duurt voordat Microsoft laatstgenoemde blog-post verwijdert.
11-11-2015, 23:56 door Anoniem
Nou ja, in Windows 10 stuurt MS je keys toch standaard naar de Windows Live cloud dus dan wordt het leven een stuk gemakkelijker voor de geheime diensten.
17-11-2015, 10:28 door Anoniem
Door Anoniem: Nou ja, in Windows 10 stuurt MS je keys toch standaard naar de Windows Live cloud dus dan wordt het leven een stuk gemakkelijker voor de geheime diensten.

Niet standaard, het is 1 van de opties die Windows aanbied. Wellicht kun je je er iets meer in verdiepen voordat je claims maakt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.