{"id":307449,"date":"2024-12-31T08:49:19","date_gmt":"2024-12-31T07:49:19","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=307449"},"modified":"2024-12-31T13:21:06","modified_gmt":"2024-12-31T12:21:06","slug":"38c3-bitlocker-ueber-schwachstellen-ausgehebelt-dez-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/12\/31\/38c3-bitlocker-ueber-schwachstellen-ausgehebelt-dez-2024\/","title":{"rendered":"38C3: Bitlocker \u00fcber Schwachstellen ausgehebelt (Dez. 2024)"},"content":{"rendered":"

\"Windows\"[English<\/a>]Noch ein kleiner Nachtrag vom Wochenende – auf dem 38C3-Kongress des Chaos Computer Clubs hat Thomas Lambertz, ein Sicherheitsexperte, gezeigt, wie sich Microsofts Bitlocker-Verschl\u00fcsselung \u00fcber ein \"Downgrade\" einer gepatchten Schwachstelle aushebeln l\u00e4sst. Der Weg, \u00fcber den Geheimdienste oder Strafverfolger an verschl\u00fcsselte Daten herankommen.<\/p>\n

<\/p>\n

\"\"Microsoft propagiert ja die Verschl\u00fcsselung der Datentr\u00e4ge von Windows-Systemen mittels Bitlocker. Das soll vertrauliche Daten vor unbefugten Dritten sch\u00fctzen. F\u00fcr Nutzer kann Bitlocker aber einige H\u00fcrden bieten (siehe Links am Artikelende, sowie folgenden Screenshot aus aus der 38C3-Session).<\/p>\n

\"Beitr\u00e4ge<\/a>
\nProbleme mit Bitlocker, Screenshot bei 45:13 aus dem Vortrag auf dem 38C3, u.a. mit Referenz auf meinen Beitrag Windows 10\/11 updates (e.g. KB5040442) trigger Bitlocker queries (July 2024)<\/a><\/em><\/p>\n

Zudem f\u00e4llt auf, dass Bitlocker immer wieder durch Schwachstellen gl\u00e4nzt, die das Aushebeln der Verschl\u00fcsselung erm\u00f6glicht. Ich hatte beispielsweise im Beitrag\u00a0Windows Bitlocker-Verschl\u00fcsselung trotz TPM ausgehebelt<\/a> \u00fcber eine solchen, allerdings aufw\u00e4ndigeren, Ansatz berichtet.<\/p>\n

Forensik-Unternehmen wie Cellebrite<\/a>, die Strafverfolger unterst\u00fctzen, oder Geheimdienste und Justiz haben aber wohl Wege gefunden, wie sie verschl\u00fcsselte Datentr\u00e4ger \u00fcber verschiedene Ans\u00e4tze entschl\u00fcsseln k\u00f6nnen. Es war also nur eine Frage der Zeit, bis Sicherheitsforscher einen genauen Blick auf Bitlocker werfen w\u00fcrden.<\/p>\n

Bitlocker per Software ausgehebelt<\/h2>\n

Sicherheitsexperte Thomas Lambertz hat auf dem 38 Chaos Computer Congress (38C3) eine Session mit dem Titel\u00a0Windows BitLocker: Screwed without a Screwdriver<\/a> gehalten, in dem er zeigte, wie er \u00fcber eine Windows-Schwachstelle und ein modifiziertes Linux auf ein verschl\u00fcsseltes Bitlocker-Laufwerk unter einem aktuellen und voll gepatchten Windows 11 zugreifen kann, ohne den Wiederherstellungsschl\u00fcssel zu kennen.<\/p>\n

Hintergrund ist die Microsoft Bitlocker-Implementierung zur vollst\u00e4ndigen Verschl\u00fcsselung eines Volumens (Datentr\u00e4ger, Partition), die mehrere Betriebsmodi bietet. Am h\u00e4ufigsten wird die Secure Boot-basierte Verschl\u00fcsselung von Privat- und Firmenkunden verwendet. Bei neueren Windows 11-Installationen wird standardm\u00e4\u00dfig die sogenannte Ger\u00e4teverschl\u00fcsselung aktiviert (siehe auch Windows 10\/11 Home-Edition und die OEM Bitlocker-Falle<\/a>).<\/p>\n

In diesem Modus ist die Festplatte im Ruhezustand durch Bitlocker verschl\u00fcsselt, wird aber automatisch entsiegelt, wenn ein rechtm\u00e4\u00dfiges Windows hochgefahren wird. Der Benutzer ben\u00f6tigt kein separates Entschl\u00fcsselungskennwort, da dieses beim Secure Boot aus dem TPM \u00fcbernommen wird. Die Anwender m\u00fcssen sich lediglich an ihrem normalen Windows Benutzerkonto anmelden.<\/p>\n

Die spannende Frage ist nun: Ist es m\u00f6glich, auf die Daten der Bitlocker-verschl\u00fcsselten Ger\u00e4te zuzugreifen, ohne das Passwort zu kennen? Im Vortrag auf dem 38C3 wurde demonstriert, wie die BitLocker-Verschl\u00fcsselung auf einem aktuellen Windows 11-System mit Secure Boot umgangen werden kann.<\/p>\n

\"bitpixie<\/p>\n

Das ist trotz Absicherung durch Secure Boot m\u00f6glich, weil sich eine wenig bekannte Software-Schwachstelle – bitpixie (CVE-2023-21563<\/a>) – ausnutzen l\u00e4sst. Diese Schwachstelle wurde zwar im November 2022 durch Microsoft gepatcht (bekannt ist das seit 2023). Aber CVE-2023-21563<\/a> l\u00e4sst sich heute noch mit einem Downgrade-Angriff zur Entschl\u00fcsselung von BitLocker nutzen.<\/p>\n

\"Downgrade<\/p>\n

Konkret wird unter Secure Boot ein veralteter Windows Boot-Loader geladen, um Windows im abgesicherten Modus zu starten. Dadurch ger\u00e4t der Bitlocker- Wiederherstellungsschl\u00fcssel (als Volume Mount Key, VMK, bezeichnet) in den Arbeitsspeicher des Rechners.<\/p>\n

\"Downgrade<\/p>\n

Dann wird ein Linux-System auf einem zweiten Rechner, der per LAN mit dem ersten Windows-Rechner verbunden ist, per Secure Boot gestartet. \u00dcber das Netzwerk wird ein Memory-Dump des Windows-Arbeitsspeichers angefertigt. Dort l\u00e4sst sich dann der ben\u00f6tigte Schl\u00fcssel zum Mounten des Bitlocker-Laufwerks extrahieren. Schon hat man Zugriff auf die Daten des Bitlocker-Laufwerks, ohne jemals das Anmeldepasswort des Nutzers oder den Wiederherstellungsschl\u00fcssel bekommen zu haben.<\/p>\n

Die Details lassen sich in der unter Windows BitLocker: Screwed without a Screwdriver<\/a> abrufbaren Aufzeichnung der Session von der 38C3 nachschauen (einige Informationen aus dem Video sind hier<\/a> aufbereitet).<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nMicrosoft best\u00e4tigt Bitlocker-Abfragen durch Windows Juli 2024-Updates<\/a>
\nWindows 10\/11 Updates (z.B. KB5040442) triggern Bitlocker-Abfragen (Juli 2024)<\/a>
\nWindows-Bitlocker-Abfrage-Bug durch August 2024-Updates korrigiert<\/a>
\nWindows 10\/11 Home-Edition und die OEM Bitlocker-Falle<\/a>
\nWindows-Frage: Wo speichert Bitlocker den Recovery-Key?<\/a>
\nBitlocker \u00fcber TPM binnen 42 Sekunden mit Raspberry Pi Pico ermittelt<\/a><\/p>\n

Windows 10\/11: Microsoft ver\u00f6ffentlicht Fix f\u00fcr OOBE-Bitlocker-Ausfall-Bug<\/a>
\nWindows 10\/11: Microsoft ver\u00f6ffentlicht Script f\u00fcr den WinRE BitLocker Bypass-Fix<\/a>
\nWindows 10: Neues zum WinRE-Patch (Fix der Bitlocker-Bypass-Schwachstelle CVE-2022-41099)<\/a><\/p>\n

<\/h2>\n

<\/h2>\n","protected":false},"excerpt":{"rendered":"

[English]Noch ein kleiner Nachtrag vom Wochenende – auf dem 38C3-Kongress des Chaos Computer Clubs hat Thomas Lambertz, ein Sicherheitsexperte, gezeigt, wie sich Microsofts Bitlocker-Verschl\u00fcsselung \u00fcber ein \"Downgrade\" einer gepatchten Schwachstelle aushebeln l\u00e4sst. Der Weg, \u00fcber den Geheimdienste oder Strafverfolger an … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,301,2557],"tags":[62,4328,3288],"class_list":["post-307449","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-windows","category-windows-server","tag-bitlocker","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/307449","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=307449"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/307449\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=307449"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=307449"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=307449"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}