Organisaties die van Microsoft BitLocker gebruikmaken om systemen te versleutelen én gebruikers een wachtwoordresetfunctie aanbieden doen er verstandig aan om de encryptiesoftware zo in te stellen dat er tijdens het opstarten verplicht een pincode moet worden opgegeven. Dat stelt securitybedrijf Pen Test Partners. BitLocker is de encryptiesoftware van Microsoft die standaard in bepaalde versies van Windows zit, zoals de Pro- en Enterprise-edities.
In bepaalde gevallen is de encryptie echter te omzeilen, aldus onderzoeker Alan Monie van Pen Test Partners. Dit komt omdat veel organisaties werknemers de mogelijkheid bieden om hun Windows-wachtwoord via het inlogscherm te resetten, aldus de onderzoeker. Deze maatregel, ook wel self-service password reset genoemd, moet de automatiseringsafdeling ontlasten, maar kan ook een aanvaller helpen om toegang tot bestanden te krijgen. Het probleem is namelijk dat het resetmechanisme waar werknemers gebruik van kunnen maken in dezelfde context als het inlogproces laat draaien.
Als een gebruiker op de wachtwoordresetlink op het inlogscherm klikt wordt het ip-adres van de wachtwoordresetwebserver gezocht en de wachtwoordresetpagina opgevraagd. In het geval van een gestolen laptop kan een aanvaller deze verzoeken onderscheppen en een pagina teruggeven waarmee er toegang tot alle bestanden op de laptop kan worden verkregen. Ook is het zo mogelijk om een nieuwe beheerder aan te maken.
"Als de gestolen laptop onderdeel van een domein is, kan het mogelijk zijn om gecachte inloggegevens te achterhalen en zelfs verbinding met het bedrijfsnetwerk te maken", aldus Monie. De onderzoeker adviseert organisaties dan ook als ze van BitLocker gebruik maken om een pincode tijdens het opstarten in te stellen. In dit geval wordt het besturingssysteem pas gestart als de juiste code is ingevoerd. BitLocker ondersteunt verschillende authenticatiemethodes die voor extra bescherming moeten zorgen.
Deze posting is gelocked. Reageren is niet meer mogelijk.