ANGRIFF AUF DIE BITLOCKER-VERSCHLÜSSELUNG MIT TPM SNIFFING

By Ewald Kager | 15 Oktober 2019

Die Microsoft BitLocker-Technologie wird von vielen Unternehmen eingesetzt, um Daten auf Notebooks und Desktop-PCs zu verschlüsseln. Sie zielt darauf ab, die Daten auch bei einem Verlust oder Diebstahl des Geräts vor unerlaubten Zugriffen zu schützen.

Zur Verwaltung der kryptografischen Schlüssel wird üblicherweise ein spezieller Chip - das Trusted Platform Module (TPM) - eingesetzt. Im März dieses Jahres wurde von IT-Sicherheitsexperten eine Schwachstelle im Schlüsselaustausch zwischen dem TPM-Chip und dem Betriebssystem im Internet veröffentlicht. Durch diese Schwachstelle kann ein Angreifer die Kommunikation auf Hardwareebene abhören und so den BitLocker-Schlüssel extrahieren. In weiterer Folge können die Daten der Festplatte entschlüsselt und auch manipuliert werden.

Dieses Angriffsszenario ist für Unternehmen auch aus Datenschutzgründen relevant, da die Vertraulichkeit der Daten bei einem Verlust des Geräts nicht mehr sichergestellt werden kann.

Dem BDO Cyber Security Experten Roland Pucher und seinem Team ist es gelungen, diesen Angriff erfolgreich an mehreren Endgeräten zu verifizieren und zu erweitern.

Betroffen ist jene weit verbreitete Konfiguration, bei der das Trusted Platform Modul (Version 1.2 oder 2.0) ohne zusätzliche PIN-Eingabe oder Startup Key (Pre-Boot Authentication) verwendet wird. Ein Angreifer muss zum Ausnutzen der Schwachstelle die Kontakte des TPM-Chips direkt kontaktieren, um die Kommunikation zwischen dem TPM-Chip und dem Betriebssystem abhören zu können. Dies erfolgt mit einem Logik-Analyzer oder einem modifiziertem FPGA-Board. Mit einem Tool kann der kryptografische Schlüssel anschließend aus der aufgezeichneten Kommunikation extrahiert werden.

Der ursprüngliche Angriff wurde von den BDO Experten noch erweitert, indem auch der Recovery Key aus den BitLocker-Metadaten extrahiert wurde. Dadurch kann die BitLocker-Festplattenverschlüsselung umgangen werden und ein Angreifer kann auf die Daten des Geräts zugreifen.

Die Erkenntnisse dieses Angriffs sind auch aus Datenschutzgründen relevant, da die Vertraulichkeit der Daten bei einem Verlust des Geräts nicht mehr sichergestellt ist. Sind personenbezogene Daten betroffen, so ergeben sich daraus Verpflichtungen aus gesetzlichen Anforderungen (z.B. Art. 33 DSGVO). Auch wenn Angreifer nur für einen begrenzten Zeitraum im Besitz des Geräts sind, kann nicht ausgeschlossen werden, dass die BitLocker-Verschlüsselung umgangen wurde und das Gerät oder die enthaltenen Daten manipuliert wurden. Außerdem besteht die Gefahr, dass auf dem Rechner Malware installiert wurde oder dieser für Social Engineering Angriffe im Unternehmen (z.B. gezielte Phishing-Angriffe auf ausgewählte Mitarbeiter) verwendet wird. Wir empfehlen deshalb eine entsprechende Prüfung und Risikobeurteilung der im Einsatz befindlichen Geräte bzw. der darauf gespeicherten Daten.

Die BDO Cyber Security Experten stehen Ihnen jederzeit gerne bei Rückfragen zur Verfügung.

Roland Pucher, [email protected], +43 5 70 375 - 4220
Ewald Kager, [email protected], +43 5 70 375 - 4211

Für weitere Informationen mit Live-Demo besuchen Sie am 21.11.2019 unseren TEK TALK an der FH OOE, Campus Hagenberg. Gerne gehen wir auch auf Ihre Fragen ein!

fh-ooe.at/tek-talk


Näheres zum Thema:

pulssecurity.no.nz/tpm-sniffing

docs.microsoft.com/bitlocker

Ewald Kager, Partner

about the author

Ewald Kager

Partner

+43 5 70 375 - 4211 [email protected] read full bio