![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
[English]Bitlocker gilt ja als Goldstandard bei der Windows-Verschl\u00fcsselung von Daten auf Enterprise-Systemen. Und ein TPM-Modul soll das Ganze noch sicherer machen. Windows 11 macht daher TPM 2.0 sogar verpflichtend, um die Sicherheit zu gew\u00e4hrleisten. Nun haben Sicherheitsforscher gezeigt, wie man eine Bitlocker-Verschl\u00fcsselung trotz TPM in Windows aushebeln kann, wenn diese nicht durch ein zus\u00e4tzliches Passwort gesch\u00fctzt ist.<\/p>\n
<\/p>\n
Die Sicherheitsforscher haben sich die Frage gestellt, ob mit einem gestohlenen Notebook, der mit Bitlocker verschl\u00fcsselt wurde, ein Zugriff auf ein internes Firmennetzwerk gelingen kann.<\/p>\n Die Sicherheitsforscher erhielten ein Lenovo-Notebook, das mit dem Standard-Sicherheits-Stack f\u00fcr die betreffende Organisation vorkonfiguriert war. Es gab keinerlei Informationen \u00fcber dieses Notebook, auch keine Test-Zugangsdaten, keine Konfigurationsdetails, das Ganze war ein 100%iger Blackbox-Test. <\/p>\n Das bereitgestellte Notebook wurde nach der \u00dcbergabe inspiziert und es stellt sich heraus, dass die bew\u00e4hrten Verfahren zur Sicherung des Ger\u00e4ts gegen Angriffe befolgt wurden:<\/p>\n Den Sicherheitsforschern blieb f\u00fcr den Penetrationstest nur der Weg, die per TPM gesicherte Bitlocker-Verschl\u00fcsselung zu umgehen, um mit dem Ger\u00e4t Zugriff auf das intern Netzwerk zu erhalten.<\/p>\n Bei der Erkundung des Ger\u00e4ts stellte sich heraus, dass das Notebook direkt zum Anmeldebildschirm von Windows 10 bootete. In Verbindung mit der BitLocker-Verschl\u00fcsselung bedeutet dies, dass der Entschl\u00fcsselungsschl\u00fcssel f\u00fcr das Laufwerk nur vom TPM abgerufen wird, ohne dass eine vom Benutzer eingegebene PIN oder ein Kennwort erforderlich ist. Das entspricht der von Microsoft vorgesehenen Standardeinstellung f\u00fcr BitLocker. Microsoft empfiehlt, die Sicherheit zu erh\u00f6hen, indem eine PIN zur Entsperrung verwendet wird. <\/p>\n Da kein PIN verwendet worden war, probierten die Sicherheitsforscher, den Bitlocker-Key zwischen TPM und Prozessor \u00fcber einen Evil-Maid-Angriff abzufangen. Das Ger\u00e4t muss dazu zwar aufgeschraubt werden, aber der Angreifer kann binnen 30 Minuten diesen Angriff erfolgreich durchf\u00fchren. Grund ist auch, dass Bitlocker keine verschl\u00fcsselte Kommunikation verwendet, was beim TPM 2.0-Standard m\u00f6glich ist. Im verlinkten Blog-Beitrag zeigen die Sicherheitsforscher Fotos, wie sie die Signale zwischen TPM und Prozessor abgefangen haben und schlie\u00dflich den Bitlocker-Key zum Dekodieren ermitteln konnten. <\/p>\n Danach lie\u00df sich ein Disk-Image der mit Bitlocker verschl\u00fcsselte SSD aus dem Lenovo-Notebook erstellen. Diese Kopie lie\u00df sich auf einem anderen Rechner unter Linux mounten und mit dem Dislocker-Toolset entschl\u00fcsseln. Danach wurde das entschl\u00fcsselte SSD-Abbild in eine virtuelle Disk \u00fcberf\u00fchrt und in einer virtuellen Maschine geladen und gebootet. Durch Manipulation der Windows Dateien (utilman.exe durch cmd.exe austauschen), lie\u00df sich eine Anmeldungen beim vorhandenen Windows 10 \u00fcber die Freischaltung des Build-In-Administratorkontos erreichen. <\/p>\n Nach einer Analyse der gespeicherten Daten fiel den Sicherheitsforschern die Konfiguration einer VPN-Verbindung in die Finger, \u00fcber die sie sich in Netzwerk der beauftragenden Firma einw\u00e4hlen konnten. M\u00f6glich war dies, weil die VPN-Verbindung ein Zertifikat verwendete, welches dem Konto auf dem Notebook zugewiesen war. Quintessenz der \u00dcbung: Es braucht nicht nur einen in TPM gesicherten Bitlocker-Key sondern ein zus\u00e4tzliches Disk-Encryption-Passwort, um solche Angriffe auszuhebeln. <\/p>\n","protected":false},"excerpt":{"rendered":" [English]Bitlocker gilt ja als Goldstandard bei der Windows-Verschl\u00fcsselung von Daten auf Enterprise-Systemen. Und ein TPM-Modul soll das Ganze noch sicherer machen. Windows 11 macht daher TPM 2.0 sogar verpflichtend, um die Sicherheit zu gew\u00e4hrleisten. Nun haben Sicherheitsforscher gezeigt, wie man … Weiterlesen Den Kollegen von Golem ist ein Blog-Beitrag From stolen Laptop to inside the company<\/a> vom 28. Juli 2021 der Dolos Group zu diesem Thema aufgefallen<\/a>. Hatte es sogar am 28. Juli 2021 in nachfolgendem Tweet<\/a> gesehen, aber noch keine Zeit es aufzubereiten. <\/p>\n
![\"](\"https:\/\/i.imgur.com\/u06ycea.png\"\/ "\\"")
<\/a><\/p>\nDas Szenario<\/h2>\n
\n
Bitlocker per TPM austricksen<\/h2>\n