Lenovo लैपटॉप पर सस्ते logic analyzer का उपयोग करके BitLocker को bypass करना

 (errno.fr)
1 पॉइंट द्वारा GN⁺ 2023-08-25 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Lenovo लैपटॉप पर सस्ते logic analyzer का उपयोग करके Microsoft Windows की full-volume encryption सुविधा BitLocker को bypass करने के तरीके पर एक लेख
  • BitLocker की full-volume encryption key (FVEK) को volume master key (VMK) से encrypt करके disk पर store किया जाता है। VMK को Trusted Platform Module (TPM) में store किया जाता है, ताकि disk को केवल उसी computer पर boot करते समय decrypt किया जा सके।
  • कमज़ोरी इस तथ्य में है कि boot प्रक्रिया के दौरान VMK, TPM और CPU के बीच unencrypted अवस्था में transfer होता है, इसलिए इसे capture करके disk को decrypt करने में इस्तेमाल किया जा सकता है।
  • लेखक ने 2021 में 100 डॉलर से कम में खरीदे गए DSLogic Plus logic analyzer का उपयोग करके TPM exchange को capture किया।
  • SPI (Serial Peripheral Interface) bus को signals को आराम से हासिल करने के लिए कम-से-कम 100MHz frequency पर sample किया गया।
  • यह पता चला कि VMK key का उपयोग POST चरण के बाद के हिस्से में, यानी boot प्रक्रिया शुरू होने के लगभग 14 सेकंड बाद हुआ।
  • Capture किए गए signals को तीन layers में decode किया गया: SPI, TIST (TPM Interface Specification), और TPM 2.0।
  • Key लौटाने का अनुरोध करने वाला TPM command TPM2_Unseal command था, और इसी का उपयोग करके VMK प्राप्त किया गया।
  • इसके बाद disk को mount किया गया और sticky keys program को cmd से overwrite करने के तरीके से backdoor install किया गया, जिससे boot के दौरान Shift key को पाँच बार दबाने पर SYSTEM shell मिलता है।
  • लेखक बताते हैं कि इस काम के लिए DSLogic का उपयोग करना चुनौतीपूर्ण था, क्योंकि कई captures खराब थे और sampling frequency मुश्किल से एक consistent clock दे पा रही थी।
  • लेख का निष्कर्ष है कि discrete (physical) TPM का उपयोग, अपेक्षा के अनुसार system security बढ़ाने के बजाय, security का भ्रम पैदा करता है। इस attack से बचाव के लिए firmware TPM (fTPM) का उपयोग करना या BitLocker में PIN या password सेट करना recommended है।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2023-08-25
Hacker News टिप्पणी
  • Bitlocker की भेद्यता पर चर्चा, Microsoft के disk encryption tool, और Lenovo laptop पर सस्ते logic analyzer का उपयोग करके हमले की संभावना
  • Bitlocker encrypted session का उपयोग नहीं करता, इसलिए यह Man-in-the-Middle (MITM) हमलों के प्रति संवेदनशील है
  • यदि Microsoft TPM2_StartAuthSession को implement करे और हर session command के लिए encryption निर्दिष्ट करे, तो समस्या हल हो सकती है
  • कुछ laptop निर्माता ऐसी setting देते हैं कि laptop खोले जाने पर Trusted Platform Module (TPM) मिटा दिया जाए, जिससे उन उपयोगकर्ताओं के लिए समस्या हो सकती है जो Bitlocker key या backup तक पहुंच नहीं रख पाते
  • Microsoft के दस्तावेज़ सुझाते हैं कि TPM brute-force हमलों को रोकता है, इसलिए ऐसे हमलों से बचाव के लिए Bitlocker PIN सेट करना चाहिए
  • Bitlocker का encryption laptop से hard disk निकालकर उसे किसी दूसरे system पर चलाने की कोशिशों के खिलाफ प्रभावी है
  • decryption key shared bus के जरिए चलती है, इसलिए system का कोई भी component key को intercept कर सकता है, जिससे supply chain security का जोखिम पैदा होता है
  • चोरी से बचाव के लिए उपयोगकर्ताओं को Bitlocker के लिए password सेट करना चाहिए और non-sleep mode को disable करना चाहिए
  • Bitlocker की भेद्यता का फायदा उठाने वाली यही तकनीक 2021 में भी वर्णित की गई थी
  • कुछ उपयोगकर्ताओं को यह मज़ेदार लगता है कि Windows की security को bypass करने के पुराने तरीके अब भी काम करते हैं, जो यह संकेत देता है कि Windows security का बड़ा हिस्सा सिर्फ दिखावा है