Das US-Sicherheitsunternehmen Synopsys hat auf eine Schwachstelle in Microsofts Festplattenverschlüsselungstool Bitlocker hingewiesen (PDF). Die Verschlüsselung eines Windows-Systems lässt sich demnach in kürzester Zeit aushebeln – auch von einem unerfahrenen Angreifer. Seit Dienstag ist allerdings der Patch MS15-122 erhältlich, der die Lücke schließen soll.
Der nachfolgende Arikelt von der ZDNet liefert eine gute Zusammenfassung zu dem Thema:
„BitLocker lässt sich in Sekunden umgehen“ (Quelle ZDNet, 17.11.2015).
Bitlocker ist Bestandteil von Windows Server ab Version 2008 sowie der Ultimate- und Enterprise-Versionen von Windows Vista und Windows 7 und der Pro- und Enterprise-Versionen von Windows 8.x und 10. Es ermöglicht eine vollständige Laufwerksverschlüsselung und soll verhindern, dass sich Unbefugte beispielsweise mithilfe einer Linux-Live-CD Zugang zu persönlichen Daten verschaffen.
Synopsis-Mitarbeiter Ian Haken beschreibt in einem Papier eine Methode, Bitlocker auf Systemen zu deaktivieren, die mit einer Domäne verbunden sind. Wird diese Verbindung getrennt, nutzt der Computer für die Anmeldung ein in einem lokalen Zwischenspeicher abgelegtes Passwort.
Haken wiederum hat nach eigenen Angaben eine Methode entwickelt, dieses zwischengespeicherte Passwort zu ändern – das Original-Passwort wird dafür nicht benötigt. Dafür richtete er eine gefälschte Domain mit demselben Namen sowie ein Nutzerkonto mit einem bereits vor Jahren angelegten Passwort ein. Ist auf dem Rechner eine Richtlinie für ein Höchstalter des Passworts definiert, fordert das System den Nutzer auf, ein neues Passwort zu hinterlegen – ohne dabei das alte Kennwort abzufragen. Danach kann sich der Nutzer auch ohne Verbindung zur Domäne mit dem neuen Passwort anmelden, wodurch auch die Daten auf dem Laufwerk entschlüsselt werden. Die Automatisierung dieses Verfahrens erlaube es einem nicht autorisierten Nutzer, Bitlocker innerhalb weniger Sekunden abzuschalten, erklärte Haken.
Was sagt Microsoft dazu:
Microsoft beschreibt den in der vergangenen Woche veröffentlichten Patch MS15-122 als ein „Sicherheitsupdate für Kerberos zum Unterbinden einer Umgehung von Sicherheitsfunktionen“.
Der Beschreibung des Patches zufolge funktioniert der von Haken entwickelte Angriff nur, wenn Bitlocker „auf dem Zielsystem ohne PIN oder USB-Schlüssel aktiviert wurde“.
Ian Haken weist jedoch darauf hin, dass die Preboot-Authentifizierung mit PIN oder USB-Schlüssel nur selten verwendet werde, da sie unter anderem eine Wartung von PCs aus der Ferne erschwere.
Auch Microsoft räume in seiner eigenen Dokumentation ein, dass die PreBoot-Authentifizierung in „der modernen IT-Welt, in der Nutzer erwarten, dass ihre Geräte sofort starten, und die IT konstant mit dem Netzwerk verbundene PCs verlangt, inakzeptabel sei.
Zitat Microsoft: (Quelle: https://technet.microsoft.com/en-us/library/dn632180.aspx):
„Pre-boot authentication provides excellent startup security, but it inconveniences users and increases IT management costs. Every time the PC is unattended, the device must be set to hibernate (in other words, shut down and powered off); when the computer restarts, users must authenticate before the encrypted volumes are unlocked. This requirement increases restart times and prevents users from accessing remote PCs until they can physically access the computer to authenticate, making pre-boot authentication unacceptable in the modern IT world, where users expect their devices to turn on instantly and IT requires PCs to be constantly connected to the network.”
Fazit:
Ein Festplattenverschlüsselungssystem (FDE), welches ohne PreBoot-Authentisierung (PBA) konfiguriert und betrieben wird, ist grundsätzlich unsicher!
Es wird immer wieder erfolgreiche Angriffe geben (DMA Hack, Cold Boot Hack, Ian Haken-Hack), solange die PreBoot Anmeldung ausgeschaltet ist und sich das zum Booten notwendige „Geheimnis“ auf dem Rechner befinden. Genau das ist eine der wesentlichen Aufgaben einer PBA, dieses „Geheimnis“ erst durch die Benutzereingabe (z.B. Passwort, PIN) zu erhalten um auf dieser Basis weitere Sicherheitselement, die für den Zugriff auf den Rechner notwendig sind, zu entschlüsseln.
Jahrzehnte haben sich PreBoot-Technologien bewährt und sind die einzige wirkungsvolle Authentisierungs-Methode einer Festplattenverschlüsselung – und dies gilt natürlich auch für Microsoft BitLocker.