Wen betrifft es:
– Alle Unternehmen/Behörden die BitLocker ohne TPM+PIN Protektor einsetzen und somit BitLocker im „transparenten“ Authentisierungsmodus konfiguriert haben.
– Alle Unternehmen/Behörden welche die Netzwerkentsperrung (Network Unlock) einsetzen.
Im nachfolgenden Text – und noch detaillierter im verlinkten PDF Dokument – erfahren Sie:
– Welche Standardmaßnahmen bei korrekt konfiguriertem BitLocker einen solchen Angriff verhindern.
– Welche zusätzliche Schutzwirkung kann das Add-on Secure Disk for BitLocker bieten kann – insbesondere im Hinblick auf eine höhere Benutzerakzeptanz, geringere Betriebskosten und eine verbesserte Verfügbarkeit des Endgerätes.
Kurzbeschreibung des Angriffs:
Der Angriff nutzt Schwächen im Bootprozess und in der Implementierung von BitLocker aus, indem er auf die unverschlüsselten Teile des Systems zugreift, die während des Startvorgangs zugänglich sind.
Dies ermöglicht es Angreifern, den Verschlüsselungsschlüssel zu extrahieren und somit auf alle verschlüsselte BitLocker Daten zuzugreifen.
Der Vortrag, der auf dem letzten Chaos Computer Kongress gehalten wurde die Notwendigkeit betont, Sicherheitsmaßnahmen zu verbessern, sowie die Implementierung und Konfiguration von Verschlüsselungstechnologien kritisch zu hinterfragen.
Wie im Abschluss des Vortrags erläutert, stellt eine Preboot-Authentifizierung eine effektive Maßnahme zur Abwehr des als „Bitpixie-Angriff“ bekannten Angriffs dar. Im Kontext des nativen Windows-BitLocker umfasst dies die lokale TPM + PIN-Authentifizierung oder alternativ die komfortable PreBoot-Authentifizierung (PBA), wie diese vom BitLocker add-On Secure Disk for BitLocker angeboten wird, bei der sich der Anwender mit AD-Credentials an den BitLocker anmelden kann und gleichzeitig mit SSO Funktionen an Windows angemeldet wird.
Durch die Integration wird eine einheitliche Anmeldung für BitLocker und Windows ermöglicht. Bei höherem Sicherheitsbedarf lässt sich mittels Secure Disk for BitLocker eine 2-Faktor-Authentifizierung konfigurieren – z. B. mit YubiKey, FIDO2-Token, Microsoft Authenticator oder Smartcards.
Problematisch wird es, wenn BitLocker im Authentifizierungsmodus „Network Unlock“ konfiguriert ist. Für diese BitLocker-Konfiguration existiert bis heute kein Microsoft-Sicherheitspatch, der den BitPixie-Angriff wirksam abwehrt. An dieser Stelle bietet die neue Version 7.7 von Secure Disk for BitLocker eine Sicherheitslösung, die im verlinkten PDF-Dokument ausführlich erläutert wird.