[English]Bitlocker gilt ja als Goldstandard bei der Windows-Verschlüsselung von Daten auf Enterprise-Systemen. Und ein TPM-Modul soll das Ganze noch sicherer machen. Windows 11 macht daher TPM 2.0 sogar verpflichtend, um die Sicherheit zu gewährleisten. Nun haben Sicherheitsforscher gezeigt, wie man eine Bitlocker-Verschlüsselung trotz TPM in Windows aushebeln kann, wenn diese nicht durch ein zusätzliches Passwort geschützt ist.
Anzeige
Den Kollegen von Golem ist ein Blog-Beitrag From stolen Laptop to inside the company vom 28. Juli 2021 der Dolos Group zu diesem Thema aufgefallen. Hatte es sogar am 28. Juli 2021 in nachfolgendem Tweet gesehen, aber noch keine Zeit es aufzubereiten.
Die Sicherheitsforscher haben sich die Frage gestellt, ob mit einem gestohlenen Notebook, der mit Bitlocker verschlüsselt wurde, ein Zugriff auf ein internes Firmennetzwerk gelingen kann.
Das Szenario
Die Sicherheitsforscher erhielten ein Lenovo-Notebook, das mit dem Standard-Sicherheits-Stack für die betreffende Organisation vorkonfiguriert war. Es gab keinerlei Informationen über dieses Notebook, auch keine Test-Zugangsdaten, keine Konfigurationsdetails, das Ganze war ein 100%iger Blackbox-Test.
Anzeige
Das bereitgestellte Notebook wurde nach der Übergabe inspiziert und es stellt sich heraus, dass die bewährten Verfahren zur Sicherung des Geräts gegen Angriffe befolgt wurden:
- pcileech/DMA-Angriffe wurden blockiert, weil die VT-d-BIOS-Einstellung von Intel aktiviert war.
- Alle BIOS-Einstellungen waren mit einem Kennwort gesperrt.
- Die BIOS-Bootreihenfolge war gesperrt, um das Booten von USB oder CD zu verhindern.
- Secureboot war vollständig aktiviert und verhinderte alle nicht signierten Betriebssysteme
- Die Umgehung der Kon-Boot-Authentifizierung funktionierte nicht, da die Festplatte vollständig verschlüsselt war.
- LAN Turtle und andere Responder-Angriffe über USB-Ethernet-Adapter ergaben nichts Brauchbares
- Die SSD war mit Microsofts BitLocker vollständig verschlüsselt (FDE) und über das Trusted Platform Module (TPM) gesichert.
Den Sicherheitsforschern blieb für den Penetrationstest nur der Weg, die per TPM gesicherte Bitlocker-Verschlüsselung zu umgehen, um mit dem Gerät Zugriff auf das intern Netzwerk zu erhalten.
Bitlocker per TPM austricksen
Bei der Erkundung des Geräts stellte sich heraus, dass das Notebook direkt zum Anmeldebildschirm von Windows 10 bootete. In Verbindung mit der BitLocker-Verschlüsselung bedeutet dies, dass der Entschlüsselungsschlüssel für das Laufwerk nur vom TPM abgerufen wird, ohne dass eine vom Benutzer eingegebene PIN oder ein Kennwort erforderlich ist. Das entspricht der von Microsoft vorgesehenen Standardeinstellung für BitLocker. Microsoft empfiehlt, die Sicherheit zu erhöhen, indem eine PIN zur Entsperrung verwendet wird.
Da kein PIN verwendet worden war, probierten die Sicherheitsforscher, den Bitlocker-Key zwischen TPM und Prozessor über einen Evil-Maid-Angriff abzufangen. Das Gerät muss dazu zwar aufgeschraubt werden, aber der Angreifer kann binnen 30 Minuten diesen Angriff erfolgreich durchführen. Grund ist auch, dass Bitlocker keine verschlüsselte Kommunikation verwendet, was beim TPM 2.0-Standard möglich ist. Im verlinkten Blog-Beitrag zeigen die Sicherheitsforscher Fotos, wie sie die Signale zwischen TPM und Prozessor abgefangen haben und schließlich den Bitlocker-Key zum Dekodieren ermitteln konnten.
Danach ließ sich ein Disk-Image der mit Bitlocker verschlüsselte SSD aus dem Lenovo-Notebook erstellen. Diese Kopie ließ sich auf einem anderen Rechner unter Linux mounten und mit dem Dislocker-Toolset entschlüsseln. Danach wurde das entschlüsselte SSD-Abbild in eine virtuelle Disk überführt und in einer virtuellen Maschine geladen und gebootet. Durch Manipulation der Windows Dateien (utilman.exe durch cmd.exe austauschen), ließ sich eine Anmeldungen beim vorhandenen Windows 10 über die Freischaltung des Build-In-Administratorkontos erreichen.
Nach einer Analyse der gespeicherten Daten fiel den Sicherheitsforschern die Konfiguration einer VPN-Verbindung in die Finger, über die sie sich in Netzwerk der beauftragenden Firma einwählen konnten. Möglich war dies, weil die VPN-Verbindung ein Zertifikat verwendete, welches dem Konto auf dem Notebook zugewiesen war. Quintessenz der Übung: Es braucht nicht nur einen in TPM gesicherten Bitlocker-Key sondern ein zusätzliches Disk-Encryption-Passwort, um solche Angriffe auszuhebeln.
Anzeige
100% Sicherheit ist reine Illusion! Das muss einem einfach klar sein.
Man kann es dem Gegner nur so schwer wie möglich machen. Das geht aber nur auf Kosten der Bequemlichkeit.
Soweit ich mich richtig erinnere ist dieser Angriffsvektor schon lange bekannt.
Bitlocker sollte immer mit einem PIN verwendet werden.
Aus der Praxis kann ich sagen die Anwender mögen es überhaupt nicht wenn sie einen PIN eingeben müssen und sich anschließend auch noch in Windows mit einem weiteren Passwort einloggen müssen.
Um die User Experience zu verbessern aber trotzdem die gleiche Sicherheit zu gewährleisten kann ich nur das Feature "Bitlocker Network Unlock" empfehlen.
Kurz zusammengefasst: Wenn der Laptop/PC beim booten mit dem Firmennetzwerk verbunden ist wird kein PIN abgefragt, ansonsten schon.
P.S. bei einem VPN Tunnel sollte immer eine 2FA genutzt werden. Zertifikate macht das ganze zwar in der Nutzung angenehmer aber eben auch unsicherer.
Apropos Anwender: Wenn nur ein User den Rechner benutzt, kann man automatische Anmeldung nutzen, das Passwort entspricht der PIN. Dann muss der User nur die Bitlocker-PIN eingeben und Windows startet bis zum Desktop durch. Bei erneuter Anmeldung oder Screen Unlock, kann er sich mit der PIN normal wieder einloggen, da hier die automatische Anmeldung nicht greift.
Ich empfehle auf die automatische Anmeldung zu verzichten. Mir sind seit vielen Jahren immer wieder Fälle unter die Augen gekommen, wo die Anwender nach Updates oder Feature-Updates sich plötzlich nicht mehr anmelden konnten oder Administratorrechte verloren hatten. In allen Fällen war eine Auto-Anmeldung konfiguriert.
Nicht /trotz/ TPM, sondern gerade /mit/ TPM. BitLocker mit Paßwort ist weiterhin sicher.
Die konzeptionelle Lücke war so oder so immer da: Wenn Windows ohne Nutzeraktion bis zum Login-Bildschirm bootet, kann ein Angreifer bei einem geklauten Rechner einfach ein paar Monate warten, bis eine Sicherheitslücke auftaucht, mit der er in den Rechner kommt. Ggf. kann er auch den Rechner booten und dann den RAM auslesen.
Funktioniert ntpasswd nicht mehr?
Automatisch entschlüsselt wird die Platte ja nur im richtigen Rechner.
"Stephan sagt:
30. Juli 2021 um 08:35 Uhr
Nicht /trotz/ TPM, sondern gerade /mit/ TPM. BitLocker mit Paßwort ist weiterhin sicher."
Genau so!
Es gibt ja wirklich einige Gründe zur Kritik an MS. Aber aktuell sind manche Überschriften hier arg gefärbt.
Hier kann dann ruhig Mal der Verursacher angeprangert werden und nicht die Überschrift nach Clickbait gewählt werden.
Deine letzte Zeile ist Unsinn und von deiner inneren Einstellung gefärbt. Ansonsten hat Stephan das ja auf's Tablet gebracht, dass es in der deutschen Sprache durchaus Nuancen gibt, etwas auszudrücken. Für mein Sprachverständnis, und das was ich ausdrücken wollte, stimmt die Überschrift nach wie vor.
@Mario
Bitlocker Network Unlock ist sicher nett.
Aber jeder Aw der nicht oft aus der Firma kommt ist dann sicher nicht fähig seinen rechner zu starten….
"utilman.exe durch cmd.exe austauschen"
AUTSCH, wie ungeschickt: ich empfehle seit dem letzten Jahrtausend die von https://skanthak.homepage.t-online.de/download/SCRIPTS.INF demonstrierte Methode.
@Stefan Kanthak:
Ich hatte irgendwann mal gelesen das man in den neusten Windows 10 Versionen nicht mehr die utilman.exe (und auch andere Systemdateien) austauschen kann bzw. das die veränderte exe dann nicht startet.
Stimmt, ist im Blog sogar erwähnt: Vom Windows-Administratorkonto ausgesperrt – II
Das war ja nur die Beschreibung des Vorgehens – nachdem der Datenträger entschlüsselt war (also nur der Kleinkram nach der eigentlichen Lücke). Ich hätte stattdessen eher das lokale Admin-Konto entsperrt und per Live-Betriebssystem das Passwort zurückgesetzt, statt erst noch Systemdateien zu manipulieren oder lokale Gruppenrichtlinien zu installieren.
AUTSCH: im lokalen Administratorkonto funktioniert der beschriebene Angriff NICHT, sondern nur im SYSTEM-Konto (genauer: in jedem Konto, das zur Netzwerk-Authentifikation das in der Domäne vorhandene Konto %COMPUTERNAME%$ verwendet).
Diese ganze TPM 2.0 Sicherheit dient einzig und allein dazu ,um.den Hardware Produzenten wieder eine Gewinnsteigerung zu ermöglichen. Wenn es keine 100 % Sicherheit gibt ,warum.dann wieder Neue Hardware kaufen.
Manche denken da Oben wir Kleinen haben eine Gelddruckerei im Keller. LP
> Diese ganze TPM 2.0 Sicherheit dient einzig und allein dazu,
..um jeden ohne "Sicherheit" von der zukünftigen Onlinewelt mit allen Dienstleistungen und auch den physischen Zugangssmöglichkeiten, die man dann nur noch mit "sicheren" Geräten mit eindeutigem persönlichem (Impf-) Zertifikat bekommen kann, auszuschliessen. Das gilt dann auch für Drittanbieter von Software, ohne entspr. "Store" Zulassung kommt Software nicht mehr auf die Geräte. Das ist offenbar der Plan.
Der Angriff auf den TPM kann man aber nur durchführen, wenn es ein Extra-Chip auf der Systemplatine ist. Bei neueren Chipsätzen und CPUs ist der dort integriert, fTPM, da funktioniert dieser Angriff nicht mehr, weil man nicht mehr an die Signale heran kommt.
best practice:
verwende keinen Gerätetunnel der im AD endet sondern der muss im VPN Netz enden, der Benutzertunnel darf dann ins AD kommen welcher aber erst nach Standard-Benutzeranmeldung gestartet wird
und natürlich 2FA bei Bitlocker
@Stephan
"BitLocker mit Paßwort ist weiterhin sicher." – nun, das "sicher" ist mit Vorsicht zu genießen. Bitlocker mit TPM und PIN erlaubt kein dauerhaftes Brute-Forcing gegen die PIN (durch TPM-Lockout sichergestellt nach 32 Versuchen). BL mit Kennwort erlaubt hingegen beliebiges Brute-Forcing gegen das Kennwort. Hat man wenig Lust, ein langes Kennwort einzutippen, dann hat Bruteforcing zumindest eine Chance beim Passwort – nicht so bei TPM+PIN.
Ab welcher Passwortlänge man sich sicher fühlen darf, kann man durchrechnen. Eine bekannte Software zum Knacken von BL-verschlüsselten Laufwerken behauptete 2016 Folgendes: https://blog.elcomsoft.com/2016/07/breaking-bitlocker-encryption-brute-forcing-the-backdoor-part-ii/
Das ganze ist IMO schon länger als "TPM sniffing" bekannt.
Hier gibt es eine schöne Beschreibung von PulseSecurity aus dem Jahr 2019: https://pulsesecurity.co.nz/articles/TPM-sniffing
Gruß Boris