Bit­Lo­cker Ver­wund­bar­keiten: Bit­Un­lo­cker und YellowKey

Ein ver­lo­re­nes oder gestoh­le­nes Note­book ist der Alb­traum jedes IT-Sicher­heits­ver­ant­wort­li­chen. In sol­chen Momen­ten ist die End­ge­rä­te­ver­schlüs­se­lung die letz­te und wich­tigs­te Ver­tei­di­gungs­li­nie: Sie soll garan­tie­ren, dass sen­si­ble Unter­neh­mens­da­ten selbst dann abso­lut sicher und unles­bar blei­ben, wenn das Gerät phy­sisch in die fal­schen Hän­de gerät. Doch wie sicher ist die­ser Schutz im Ernst­fall wirklich?

Aktu­el­le Erkennt­nis­se aus der IT-Sicher­heits­for­schung zei­gen, dass das Ver­trau­en auf stan­dard­mä­ßi­ge Ver­schlüs­se­lungs­me­cha­nis­men fatal sein kann. Sobald Angrei­fer phy­si­schen Zugriff auf die Hard­ware haben, las­sen sich ver­meint­lich siche­re Hür­den oft mit erschre­cken­der Leich­tig­keit umge­hen. Wie die neu ent­deck­ten Angriffs­vek­to­ren Bit­Un­lo­cker und Yel­low­Key die gän­gi­ge Micro­soft Bit­Lo­cker-Ver­schlüs­se­lung im rei­nen TPM-Modus (TPM Only) kom­plett aus­he­beln und war­um ein wirk­sa­mer Schutz im Ver­lust­fall heu­te weit über den Stan­dard hin­aus­ge­hen muss, zeigt der fol­gen­de Pra­xis­be­richt unse­rer Experten.

Der Bit­Un­lo­cker Bit­Lo­cker Bypass ver­wen­det einen Boot­loa­der um in ein modi­fi­zier­tes Windows/WinRe Image zu boo­ten. Die Vor­aus­set­zun­gen dafür sind Bit­Lo­cker im TPM Only Modus mit spe­zi­el­len PCR-Regis­ter Kom­bi­na­tio­nen (z.B. PCR 7 & 11) und ein gül­tig signier­ter Win­dows Boot­loa­der der noch mit der Micro­soft UEFI CA 2011 Zer­ti­fi­kats­ket­te signiert ist. Durch eine modi­fi­zier­te BCD-Datei wird das modi­fi­zier­te Image nach der Wie­der­her­stel­lung des Bit­lock­erschlüs­sels aus dem TPM gela­den, dadurch kann dann von dort aus auf die ver­schlüs­sel­te Sys­tem­par­ti­ti­on zuge­grif­fen werden.

Der Yel­low­Key Bit­Lo­cker Bypass soll einen Win­dows Reco­very Mecha­nis­mus aus­nut­zen, der Ände­run­gen an Datei­sys­te­men basie­rend auf NTFS-Trans­ak­tio­nen vor­nimmt. Wie bei Bit­Un­lo­cker kommt man dadurch in eine Umge­bung, die nach dem Wie­der­her­stel­len des Bit­lock­erschlüs­sels aus dem TPM gestar­tet wird und so Zugriff auf die ver­schlüs­sel­te Sys­tem­par­ti­ti­on hat. Der Angriff funk­tio­niert in bei­den Bit­Lo­cker Modis TPM-Only, als auch bei der Ver­wen­dung von TPM + PIN. Im TPM + PIN Modus, muss dem Angrei­fer jedoch die TPM PIN bekannt sein. Da aber kei­ne Datei­en in der Boot­ket­te ver­än­dert wer­den, soll­ten auch ande­re PCR-Regis­ter Kom­bi­na­tio­nen betrof­fen sein.

Der Sicher­heits­for­scher Night­ma­re-Eclipse meint hier ein bewuss­tes Micro­soft Back­door von Bit­Lo­cker gefun­den zu haben und schreibt auf Git­hub: ” Die Kom­po­nen­te, die für die­sen Feh­ler ver­ant­wort­lich ist, ist nir­gend­wo (auch nicht im Inter­net) zu fin­den, außer im Win­RE-Image, und was Miss­trau­en weckt, ist die Tat­sa­che, dass genau die­sel­be Kom­po­nen­te mit genau dem­sel­ben Namen auch in einer nor­ma­len Win­dows-Instal­la­ti­on vor­han­den ist, jedoch ohne die Funk­tio­nen, die das Pro­blem der Bit­Lo­cker-Umge­hung aus­lö­sen. War­um? Mir fällt ein­fach kei­ne ande­re Erklä­rung ein als die, dass dies beab­sich­tigt war. Außer­dem sind aus irgend­ei­nem Grund nur Win­dows 11 (+Ser­ver 2022/2025) betrof­fen, Win­dows 10 hin­ge­gen nicht. [über­setzt]”

Bei­de Angrif­fe benö­ti­gen phy­si­schen Zugriff auf das End­ge­rät und bezie­hen sich sowohl auf den trans­pa­ren­ten Bit­Lo­cker (TPM only) ohne jed­li­che Pre-Boot-Authen­ti­sie­rung als auch auf den Bit­Lo­cker mit TPM + PIN Schutz, sofern dem Angrei­fer die PIN bekannt ist.

Der trans­pa­ren­te Bit­Lo­cker ist dann aktiv, wenn ihr End­ge­rät nach dem Ein­schal­ten direkt in die Win­dows Anmel­dung boo­tet. TPM + PIN ist ein erwei­te­rer Bit­Lo­cker Schutz, wo man vor dem Win­dows Start in einem blau­en Bild­schirm die TPM PIN ein­ge­ben muss, um das Sys­tem zu starten.

Lei­der behaup­tet der frus­trier­te Sicher­heits­for­scher „Night­ma­re-Eclip­se“ (ali­as Chao­tic Eclip­se) auch, dass er ein­fach TPM+PIN aus­he­beln kann, die­sen Code hat er/sie aber noch nicht veröffentlicht.

Ech­ten Schutz bie­tet aktu­ell nur eine Pre-Boot-Authen­ti­sie­rung für Bit­Lo­cker. CPSD bie­ten Unter­neh­men zwei aus­ge­reif­te Pro­duk­te an:

Secu­re Disk for Bit­Lo­cker – ist ein MFA Pre-Boot Schutz mit eige­ner Ser­ver­kom­po­nen­te, der eine Viel­zahl an 1FA- und MFA-Authen­ti­fi­zie­run­gen wie Smart­cards, Token, Yubi­key, Swiss­bit, FIDO2, TOTP Apps (Goog­le Authen­ti­ca­tor, Micro­soft Authen­ti­ca­tor, etc.) aber auch eine Pre-Boot Pass­wort­an­mel­dung und Netz­werk-Unlock unterstützt.

Unlock Any­whe­re® – ist eine Cloud-basier­te MFA Pre-Boot-Lösung, wo der Boot-Schlüs­sel für die Bit­Lo­cker-Ver­schlüs­se­lung sicher aus der Cloud kommt. Kom­bi­niert mit einer Win­dows Pass­wort­an­mel­dung oder bes­ser Win­dows Hel­lo for Busi­ness han­delt es sich um eine voll­stän­di­ge MFA-Lösung für belie­bi­ge Win­dows End­ge­rä­te. Die Lösung bie­tet auch Remo­te-Lock und Remote-Wipe.

Bei­de Lösun­gen sind voll­stän­dig in Linz ent­wi­ckelt, unter­stüt­zen die digi­ta­le Kryp­to-Sou­ve­rä­ni­tät und sind nach unse­rer Ein­schät­zung weder mit Bit­Un­lo­cker noch mit Yel­low­Key angreif­bar. Zusätz­lich beinhal­ten bei­de Lösun­gen in neue­ren Ver­sio­nen das Fea­ture “Trus­ted Boot­loa­der”. Mit die­sem kann man eine Lis­te an Win­dows Boot­loa­dern erstel­len denen Schlüs­sel­ma­te­ri­al über­ge­ben wird (unab­hän­gig von einer Sper­rung durch Secu­re Boot). Ein Roll­back auf alte Boot­loa­der Ver­sio­nen – wie bei Bit­Un­lo­cker – kann so unter­bun­den werden.