image

Securitybedrijf waarschuwt voor wachtwoordreset bij BitLocker-systemen

vrijdag 25 augustus 2017, 11:47 door Redactie, 13 reacties
Laatst bijgewerkt: 25-08-2017, 18:10

Organisaties die van Microsoft BitLocker gebruikmaken om systemen te versleutelen én gebruikers een wachtwoordresetfunctie aanbieden doen er verstandig aan om de encryptiesoftware zo in te stellen dat er tijdens het opstarten verplicht een pincode moet worden opgegeven. Dat stelt securitybedrijf Pen Test Partners. BitLocker is de encryptiesoftware van Microsoft die standaard in bepaalde versies van Windows zit, zoals de Pro- en Enterprise-edities.

In bepaalde gevallen is de encryptie echter te omzeilen, aldus onderzoeker Alan Monie van Pen Test Partners. Dit komt omdat veel organisaties werknemers de mogelijkheid bieden om hun Windows-wachtwoord via het inlogscherm te resetten, aldus de onderzoeker. Deze maatregel, ook wel self-service password reset genoemd, moet de automatiseringsafdeling ontlasten, maar kan ook een aanvaller helpen om toegang tot bestanden te krijgen. Het probleem is namelijk dat het resetmechanisme waar werknemers gebruik van kunnen maken in dezelfde context als het inlogproces laat draaien.

Als een gebruiker op de wachtwoordresetlink op het inlogscherm klikt wordt het ip-adres van de wachtwoordresetwebserver gezocht en de wachtwoordresetpagina opgevraagd. In het geval van een gestolen laptop kan een aanvaller deze verzoeken onderscheppen en een pagina teruggeven waarmee er toegang tot alle bestanden op de laptop kan worden verkregen. Ook is het zo mogelijk om een nieuwe beheerder aan te maken.

"Als de gestolen laptop onderdeel van een domein is, kan het mogelijk zijn om gecachte inloggegevens te achterhalen en zelfs verbinding met het bedrijfsnetwerk te maken", aldus Monie. De onderzoeker adviseert organisaties dan ook als ze van BitLocker gebruik maken om een pincode tijdens het opstarten in te stellen. In dit geval wordt het besturingssysteem pas gestart als de juiste code is ingevoerd. BitLocker ondersteunt verschillende authenticatiemethodes die voor extra bescherming moeten zorgen.

Image

Reacties (13)
25-08-2017, 12:14 door Anoniem
Dat betekent dan dus dat de disksleutel niet zelf versleuteld is. Dan is het helemaal de vraag hoeveel zo'n "pincode" toevoegt, want dan is er wellicht nog weer een andere manier te vinden om de disksleutel los te weken uit het systeem.
25-08-2017, 13:24 door Anoniem
kun je toch beter veracrypt gebruiken
25-08-2017, 13:25 door Anoniem
Door Anoniem: Dat betekent dan dus dat de disksleutel niet zelf versleuteld is. Dan is het helemaal de vraag hoeveel zo'n "pincode" toevoegt, want dan is er wellicht nog weer een andere manier te vinden om de disksleutel los te weken uit het systeem.

Klopt niet veel van wat je zegt. Disksleutel zit in tpm chipset. En die is al geladen als Windows opstart. Dit heeft eigenlijk zelfs niets met bitlocker te maken. Het is een foute in de password reset tools.
Maar dat klinkt niet erg interessant.
25-08-2017, 13:36 door Briolet
Door Anoniem: Dat betekent dan dus dat de disksleutel niet zelf versleuteld is.

Dat dacht ik eerst ook. Als je een encryptie kunt resetten zonder wachtwoord, dan moet het hele systeem al vanaf het begin open liggen.

Maar misschien staat dat wachtwoord toch niet op de schijf zelf. Ik ken BitLocker niet, maar bij de schijfversleuteling van Apple heb je de mogelijkheid om de sleutel voor decryptie bij apple op te slaan. Ik neem aan dat dit dan aan je iCloud account gekoppeld wordt.

Gezien de melding dat er ook een browser in het spel is bij de reset, denk ik dat sleutel hier ook niet op de schijf staat, maar ergens bij Microsoft.
25-08-2017, 14:02 door dmstork
Erg summier aan concrete informatie, niet eens een exacte Windows versie waar ze dit hebben geconstateerd... Daarbij is de titel inderdaad wat misleidend, aangezien dit een password reset issue is dan een specifieke Bitlocker issue. Daarbij zou een PIN code bij opstarten ook niet het directe probleem van de self reset oplossen, het is meer een workaround. Een betere titel zou dan zijn: "Self reset password tools kunnen ongeoorloofd toegang verlenen op Windows".

Van mij mag security.nl toch wel wat kritischer zijn in welke berichten ze herhalen, of stel zelf al kritische vragen en ga niet klakkeloos copy/pasten. Ik zie wel vaker berichten van (veelal onbekende) security bedrijven die een issue behoorlijk sensationeler verkopen dan dat het werkelijk is. Dat doet de infosec wereld echt niet goed.
25-08-2017, 15:10 door sjonniev
Wat dmstork zegt. Dit is een password reset issue, geen Bitlocker issue.
25-08-2017, 22:49 door Bitwiper
Door sjonniev: Wat dmstork zegt. Dit is een password reset issue, geen Bitlocker issue.
Het probleem is dat Microsoft stelt dat het niet nodig is om Bitlocker, direct na het aanzetten van bijv. een tablet, om een wachtwoord of pincode te laten vragen [1]. En ik ken mensen die wel bitlocker gebruiken maar hun notebook niet helemaal uitzetten maar slechts in slaapstand zetten (waardoor ze de bitlocker pincode of wachtwoord zelden invoeren).

Een dief of vinder hoeft dan alleen nog het Windows inlogwachtwoord te raden, te bruteforcen of te bypassen. Zodra Windows is opgestart is het aanvalsoppervlak enorm veel groter. Je kunt bijv. wachten tot een programma of Windows om een update vraagt. Als je een code signing certificaat koopt (of een private key steelt) kun je daarmee code signeren die best wel eens als update geaccepteerd kan worden. Maar er zijn ook andere mogelijkheden.

Wat mij betreft heeft het bedrijf gelijk: gebruik gewoon een goede passphrase op Bitlocker. Als je zeker weet dat de TPM chip ervoor zorgt dat na bijv. 5 onjuiste pogingen je alleen nog met de recovery key Bitlocker kunt vrijgeven, kun je bijv. ook een 4-cijferige pincode gebruiken.

Overigens zit de encryptiesleutel niet alleen maar in de TPM chip. Er zijn Dell notebooks waarvan bekend is dat de TPM chip de geest geeft (Google: dell tpm bitlocker). Dan kun je niet meer op de oude manier de schijf unlocken, maar nog wel met de recovery key. Ook omdat moederborden stuk kunnen gaan is het heel verstandig om die revovery key op een veilige en "onthoudbare" plaats te bewaren.

[1] https://blogs.technet.microsoft.com/askpfeplat/2014/07/13/bitlocker-pin-on-surface-pro-3-and-other-tablets/.
26-08-2017, 15:12 door Anoniem
Door Bitwiper:
Door sjonniev: Wat dmstork zegt. Dit is een password reset issue, geen Bitlocker issue.
Het probleem is dat Microsoft stelt dat het niet nodig is om Bitlocker, direct na het aanzetten van bijv. een tablet, om een wachtwoord of pincode te laten vragen [1]. En ik ken mensen die wel bitlocker gebruiken maar hun notebook niet helemaal uitzetten maar slechts in slaapstand zetten (waardoor ze de bitlocker pincode of wachtwoord zelden invoeren).
Staat ook los van BitLocker. Voor de meeste bedrijven is deze oplossing nog steeds een perfecte oplossing. PreBoot authenticatie is nog mooier, maar dit geld voor iedere encryptie software. Nadeel is, dat het ook een stukje gebruikers onvriendelijker is.

Een dief of vinder hoeft dan alleen nog het Windows inlogwachtwoord te raden, te bruteforcen of te bypassen.
Lockout policy configuren?

Zodra Windows is opgestart is het aanvalsoppervlak enorm veel groter.
Correct. Maar voor 99% van de bedrijven is de huidige opzet, meer dan volgende beveiliging. Als je echt professionele hackers hebt, die bij jou binnen willen komen, zijn er mogelijkheden genoeg. En natuurlijk wil je de deur zo dicht mogelijk hebben. Maar je moet goed kijken, naar de noodzaak van iedere beveiliging.....
26-08-2017, 21:13 door Bitwiper
Door Anoniem: Staat ook los van BitLocker.
Eh? Sinds wanneer staat een Bitlocker wachtwoord of pincode "los van Bitlocker"?

Door Anoniem: Nadeel is, dat het ook een stukje gebruikers onvriendelijker is.
Als je jouw collega's kunt vertrouwen, kun je m.i. beter een flut Windows wachtwoord (of helemaal geen Windows wachtwoord) nemen, als je maar een goed FDE (Full Disk Encryption - zoals Bitlocker of Veracrypt) wachtwoord hebt en de computer steeds uitzet als deze niet gebruikt wordt (vooral tijdens transport).

Door Anoniem: Lockout policy configuren?
Nee dat is lekker betrouwbaar. Als je AD account locked out is en je trekt de netwerkstekker eruit of gaat buiten WiFi bereik van AD controllers, kun je gewoon weer inloggen met je "locked" account - mits er cached credentials zijn (de default). Niet verder vertellen hoor!

Door Anoniem: ... meer dan volgende beveiliging. Als je echt professionele hackers hebt ...
Op een willekeurige werkcomputer (vergeet MKB niet) is bijna altijd informatie te vinden die geld waard is op de zwarte markt. Maar als je notebook/tablet gejat wordt, kun je natuurlijk hopen op gelegenheidsdieven of junks die dat niet weten...
29-08-2017, 01:44 door Anoniem
Door Bitwiper:
Door Anoniem: ... meer dan volgende beveiliging. Als je echt professionele hackers hebt ...
Op een willekeurige werkcomputer (vergeet MKB niet) is bijna altijd informatie te vinden die geld waard is op de zwarte markt. Maar als je notebook/tablet gejat wordt, kun je natuurlijk hopen op gelegenheidsdieven of junks die dat niet weten...

*Gemiddelde* werk of MKB computer ?
Wat voor soort data 'doet' wat voor soort prijzen, en hoe makkelijk vind je die markt ?

Ik hoor of lees wel eens van die verhalen over de waarde van creditcards, of mail accounts, en dat is amper een paar dollar per stuk - gebaseerd blijkbaar op 'carders' fora waar batches van heel veel duizenden voor vrij kleine bedragen te koop zijn .
Wat je wel tegenkomt aan tarief voor porno acteurs ligt ook heel erg laag - waar ik uit concludeer dat de marktwaarde van amateurporno , zolang de spelers geen BNers zijn , ook nihil moet zijn. Alleen de nauwe kring van bekenden , of de spelers zouden potentieel er echt wat geld ervoor over hebben.

Wat dat betreft twijfel ik een beetje of er ergens een plek is waar je inderdaad de data van die gemiddelde werk- of MKB computer kunt omzetten in cash, en wat voor soort bedragen dat zijn. (Als in - te kleinschalig . Oud papier heeft een ton-prijs, maar ik ken nergens een loket waar ik een cent kan krijgen voor twee ons oude kranten )
29-08-2017, 21:22 door Bitwiper
Door Anoniem: *Gemiddelde* werk of MKB computer ?
Wat voor soort data 'doet' wat voor soort prijzen, en hoe makkelijk vind je die markt ?
Ik neem aan dat jij jouw smartphone ook niet hebt versleuteld?

Met de gegevens van een gemiddelde computer of smartphone zijn afpersing en phishingaanvallen mogelijk. Nogmaals, niet elke gelegenheidsdief weet dat. Je kunt natuurlijk hopen dat de statistiek jou gunstig gezind is. Maar een gezegde dat ik eens hoorde, spreekt wat mij betreft boekdelen: de statisticus waadde vol vertrouwen door de rivier van gemiddeld 1 meter diep - en verzoop.
29-08-2017, 23:18 door Anoniem
Door Bitwiper:
Door Anoniem: *Gemiddelde* werk of MKB computer ?
Wat voor soort data 'doet' wat voor soort prijzen, en hoe makkelijk vind je die markt ?
Ik neem aan dat jij jouw smartphone ook niet hebt versleuteld?

Met de gegevens van een gemiddelde computer of smartphone zijn afpersing en phishingaanvallen mogelijk. Nogmaals, niet elke gelegenheidsdief weet dat. Je kunt natuurlijk hopen dat de statistiek jou gunstig gezind is. Maar een gezegde dat ik eens hoorde, spreekt wat mij betreft boekdelen: de statisticus waadde vol vertrouwen door de rivier van gemiddeld 1 meter diep - en verzoop.

Oftewel : je weet dus ook geen zwarte markt waar de data van een gemiddelde MKB of bedrijfslaptop gewoon 'gecashed' kan worden.
En nu roep je nog meer : dat met de data van gemiddelde laptop mensen (de eigenaar ?) afgeperst kan worden.

Ook dat trek ik in twijfel - dat er dusdanige dingen op staan dat mensen gaan betalen om de data geheim te houden .
Er is een heel verschil tussen 'zwaar klote' en 'betalen en geloven dat de afperser niet later nogmaals komt cashen' .
Zoveel echt geheims staat er zelden op, en je moet echt het wereldje van het slachtoffer kennen voordat het misschien een beetje boeiend wordt.
(wat kan ik met een stel offertes van loodgieter Hans, wat slager Jansen aan het slachthuis betaalt, en de notulen van het wekelijks overleg van de gemeentelijke groenvoorziening Appelscha ? )

Wellicht dat data van m.n. een MKB of persoonlijke laptop wel met enig resultaat gegijzeld kan worden (dwz: de eigenaar zonder backups die de data terug wil hebben , maar het geen grote ramp zou vinden als die data publiek werden ).
Ransomware is de massaproductie van dat model , met inderdaad een zekere betalingsbereidheid in de orde van honderden euro's . Dat maakt het ca dubbel zo waardevol als de kale hardware van een gemiddelde laptop.

Alleen hier moet de dief of heler rechtstreeks contact leggen met het slachtoffer, en ook een overdracht van geld en data met de pakkans - Dat is een hoop stappen verder dan een anonieme zwarte markt waar snel gecashed kan worden.

Waarschijnlijk kun met de laptop inderdaad behoorlijk effectief de publiek bereikbare accounts van de voormalig eigenaar kraken . (bij bedrijfslaptops is het bedrijfsaccount meestal niet direct bereikbaar alleen maar met de laptop en daarop bereikbare gegevens - en verder vrij snel dicht als de diefstal gemeld is ).
Noch steeds zie ik heel weinig 'snel cashbare' dingen uit een enkel setje accounts van een gemiddelde nobody.
Phishing van diens bankrekening zou nog steeds de 2e factor nodig hebben (de aanname was tot nu toe een gestolen laptop, en impliciet zonder diskencryptie of andere echte lock) . Verder zit je bij phishing ook weer met het cashen, en het feit dat banken behoorlijk effectief zijn in transactie monitoring.

Het ongemak/werk en eventuele kosten in het reconstrueren van verloren data voor eigenaar van een 'gemiddelde' MKB of bedrijfslaptop kan best erg fors zijn, maar jouw claims dat het (nerdy neefje van) de gelegenheidsdief daar 'enorm veel' uit kan halen kan ik er niet in zien - en heb jij niet hardgemaakt.

Er zit waarde in account/CC/persoonlijke data - in bulk . De _realiseerbare_ waarde van enkele gevens van een 'gemiddeld MKB/bedrijfsysteem' is m.i. nihil.

Er zijn natuurlijk best scenario's waarin er wel echt waardevolle data te vinden is - en een _gerichte_ diefstal is misschien iets waar organisaties rekening mee moeten houden - van sommige systemen van sommige mensen.
Alleen de claim betrof een gemiddeld systeem.

Er zijn genoeg echte security problemen en risico's om mensen voor te waarschuwen dat ik niet hoef te bullshitten met verzonnen risico's.
30-08-2017, 14:04 door Anoniem
Oud nieuws, en reeds gepatcht?

https://technet.microsoft.com/library/security/MS15-122
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.