Novo ataque do BitLocker coloca computadores armazenando dados confidenciais em risco

Um pesquisador de segurança criou um novo método de extração de chaves de criptografia BitLocker do Trusted Platform Module (TPM) de um computador, que requer apenas uma placa FPGA e algum código aberto.

Para ser claro, esse novo ataque do BitLocker requer acesso físico a um dispositivo e resultará na destruição do dispositivo, pois o invasor precisa conectar o equipamento à placa-mãe do computador.

No entanto, o ataque produz os resultados desejados e deve ser considerado um vetor de ameaça para os proprietários de dispositivos que armazenam informações altamente valiosas, como materiais confidenciais, documentos comerciais proprietários, chaves de carteira criptografada ou outros dados confidenciais semelhantes.

ALVOS DE ATAQUE TPM LPC BUSES

O ataque foi detalhado pela primeira vez ontem em um relatório de Denis Andzakovic, um pesquisador de segurança da Pulse Security, com sede na Nova Zelândia.

Seu método é diferente dos ataques passados ​​do BitLocker, pois requer hard-wiring no chip TPM de um computador e fareja as comunicações por meio do barramento Low Pin Count (LPC) .

Os TPMs são microcontroladores dedicados que geralmente são implantados em computadores de alto valor, como os usados ​​em redes corporativas ou governamentais, mas também em data centers e, às vezes, em computadores pessoais.

Os TPMs têm papéis diferentes, e um deles é oferecer suporte ao BitLocker da Microsoft, um recurso de criptografia de disco de volume total que foi adicionado no Windows Vista.

Em sua pesquisa, Andzakovic detalhou uma nova rotina de ataque que extrai as chaves de criptografia do BitLocker do barramento LPC nos chips TPM 1.2 e TPM 2.0.

Ele testou sua pesquisa em um laptop HP executando um chip TPM 1.2 (ataque realizado usando um Analisador Lógico caro) e contra um Surface Pro 3 executando um chip TPM 2.0 (ataque realizado usando uma placa FPGA barata e código-fonte aberto ).

Nos dois ataques, o BitLocker estava sendo executado em sua configuração padrão.

PESQUISADOR E MICROSOFT: USE AUTENTICAÇÃO DE PRÉ-INICIALIZAÇÃO

A pesquisa de Andzakovic mostrou mais uma vez por que o uso de implantações padrão do BitLocker é uma péssima ideia e a razão pela qual até a Microsoft está advertindo contra isso na documentação oficial do BitLocker .

Tanto o pesquisador quanto a Microsoft recomendam o uso de um método de autenticação de pré-inicialização definindo uma senha TPM / BIOS antes que o SO inicialize, senha que evite que as chaves do BitLocker atinjam o TPM e cheguem usando esse novo ataque.

A descoberta de Andzakovic se junta às fileiras de outros ataques do BitLocker que envolvem métodos de acesso direto à memória (DMA) [ 1 , 2 , 3 ], ataques de força bruta , mas também vulnerabilidades em SSDs de autocriptografia e no processo do Windows Update .


Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.