Im Sep­tem­ber 2018 ver­öf­fent­licht F‑Secure ein Video der Durch­füh­rung eines Bit­Lo­cker Hacks mit Hil­fe einer Cold Boot Atta­cke. Die Schrit­te im Video wer­den von F‑Secure nicht erklärt und las­sen eini­ge Fra­gen zu dem Angriff offen.

Die Ver­schlüs­se­lungs-Exper­ten von CPSD haben das Video ana­ly­siert und kön­nen den Bit­Lo­cker Angriff in den fol­gen­den Schrit­ten nachvollziehen:

Sekun­de 11: Der Benut­zer arbei­tet an sen­si­blen Daten, in dem Fall an einem Doku­ment mit einem ver­trau­li­chen Pass­wort. Im Spei­cher befin­den sich aber auch ande­re ver­trau­li­che Daten wie der Bit­Lo­cker Verschlüsselungsschlüssel.

Sekun­de 15: Das Note­book wird vom Benut­zer in den Ruhe­zu­stand her­un­ter­ge­fah­ren oder auf Standby/Energiesparmodus geschaltet.

Sekun­de 24: Der „Dieb“ nimmt das Note­book und stellt eine kon­ti­nu­ier­li­che Strom­ver­sor­gung des RAMs sicher (zuerst über den Akku, dann über das Netzteil).

Sekun­de 31: Der „Dieb“ loka­li­siert den NVRAM Chip mit der UEFI Firm­ware auf dem Mainboard.

Sekun­de 36: Der RAM wird gekühlt, um zu ver­hin­dern das der RAM-Inhalt bei den unten fol­gen­den Schrit­ten ver­lo­ren geht.

Sekun­de 43: Der „Dieb“ steckt einen boot­ba­ren USB-Stick an den Note­book an, mit dem nach der Mani­pu­la­ti­on der Note­book geboo­tet wird.

Sekun­de 50: Mit der einen Hand ver­bin­det der „Dieb“ einen ISP-Pro­gramm­er mit dem NVRAM Chip. Der Strom wird direkt vor der Ver­bin­dung am Strom­ver­tei­ler abge­schal­tet, ab jetzt läuft die Zeit für den RAM Inhalt.

Sekun­de 51: Auf dem ISP-Pro­gramm­er befin­det sich ein mani­pu­lier­tes UEFI Image, das die Funk­ti­on zum Löschen des RAMs deak­ti­viert und ggfls. auch Secu­re Boot abschal­tet. Die­ses mani­pu­lier­te UEFI wird nun auf den Chip über­spielt. Even­tu­ell wer­den auch nur die betrof­fe­nen Tei­le des UEFI Images ver­än­dert, ohne das gesam­te Image neu zu schreiben.

Sekun­de 52: Sobald der ISP-Pro­gramm­er vom Chip ent­fernt wird, wird die Strom­ver­sor­gung wie­der­her­ge­stellt und der Rech­ner star­tet neu.

Minu­te 1:03: Da der Haupt­spei­cher durch das mani­pu­lier­te UEFI nicht mehr gelöscht und das Boo­ten vom USB-Stick ermög­lich wird, star­tet der „Dieb“ ein Linux Betriebs­sys­tem vom USB-Stick und kann den Haupt­spei­cher mit her­kömm­li­chen Linux Mit­teln durchsuchen.

Minu­te 1:07: Das ver­trau­li­che Pass­wort wird dar­ge­stellt, mit der glei­chen Metho­de kann auch der Bit­Lo­cker Schlüs­sel aus dem Haupt­spei­cher aus­ge­le­sen werden.

Hier das Video vom Bit­Lo­cker Hack:

Das der Hack spe­zi­ell bei Bit­Lo­cker ver­schlüs­sel­ten Sys­te­men ohne Pre-Boot-Authen­ti­sie­rung anwend­bar ist, hat Micro­soft bereits im Sep­tem­ber 2018 die Sicher­heits­emp­feh­lun­gen für die Bit­Lo­cker Ver­schlüs­se­lung in einem neu­en Bit­Lo­cker Maß­nah­men­ka­ta­log (Stand 06. Sep­tem­ber 2018) erwei­tert und emp­fiehlt nun drin­gend eine Pre-Boot-Authen­ti­sie­rung wie TPM mit PIN. Lesen Sie hier­zu unse­re deut­sche Über­set­zung des Bit­Lo­cker Maß­nah­men­ka­ta­logs mit zusätz­li­chen Sicher­heits-Emp­feh­lun­gen: https://www.cpsd.at/bitlocker-massnahmenkatalog-2018/