Im Sep­tem­ber 2018 veröf­fentlicht F‑Secure ein Video der Durch­führung eines Bit­Lock­er Hacks mit Hil­fe ein­er Cold Boot Attacke. Die Schritte im Video wer­den von F‑Secure nicht erk­lärt und lassen einige Fra­gen zu dem Angriff offen.

Ein Cold Boot Angriff ist ein geziel­ter Angriff auf Infor­ma­tion oder einen Schlüs­sel der im Hauptspeicher/RAM geladen ist. Es han­delt sich nicht um einen Brute-Force-Angriff wo hun­dert­tausende Kom­bi­na­tio­nen “aus­pro­biert” wer­den müssen, son­dern in Sekun­den der richtige Schlüs­sel im RAM oder RAM-Dump mit ein­er 100% Tre­f­fer­ge­nauigkeit aus­ge­le­sen wird.

Die Ver­schlüs­selungs-Experten von CPSD haben das Video analysiert und kön­nen den Bit­Lock­er Angriff in den fol­gen­den Schrit­ten nachvol­lziehen:

Sekunde 11: Der Benutzer arbeit­et an sen­si­blen Dat­en, in dem Fall an einem Doku­ment mit einem ver­traulichen Pass­wort. Im Spe­ich­er befind­en sich aber auch andere ver­trauliche Dat­en wie der Bit­Lock­er Ver­schlüs­selungss­chlüs­sel.

Sekunde 15: Das Note­book wird vom Benutzer in den Ruhezu­s­tand herun­terge­fahren oder auf Standby/Energiesparmodus geschal­tet.

Sekunde 24: Der „Dieb“ nimmt das Note­book und stellt eine kon­tinuier­liche Stromver­sorgung des RAMs sich­er (zuerst über den Akku, dann über das Net­zteil).

Sekunde 31: Der „Dieb“ lokalisiert den NVRAM Chip mit der UEFI Firmware auf dem Main­board.

Sekunde 36: Der RAM wird gekühlt, um zu ver­hin­dern das der RAM-Inhalt bei den unten fol­gen­den Schrit­ten ver­loren geht.

Sekunde 43: Der „Dieb“ steckt einen boot­baren USB-Stick an den Note­book an, mit dem nach der Manip­u­la­tion der Note­book gebootet wird.

Sekunde 50: Mit der einen Hand verbindet der „Dieb“ einen ISP-Pro­gram­mer mit dem NVRAM Chip. Der Strom wird direkt vor der Verbindung am Stromverteil­er abgeschal­tet, ab jet­zt läuft die Zeit für den RAM Inhalt.

Sekunde 51: Auf dem ISP-Pro­gram­mer befind­et sich ein manip­uliertes UEFI Image, das die Funk­tion zum Löschen des RAMs deak­tiviert und ggfls. auch Secure Boot abschal­tet. Dieses manip­ulierte UEFI wird nun auf den Chip über­spielt. Eventuell wer­den auch nur die betrof­fe­nen Teile des UEFI Images verän­dert, ohne das gesamte Image neu zu schreiben.

Dieses mod­i­fizierte UEFI über­schreibt alle Sicher­heit­se­in­stel­lun­gen die vom Benutzer oder vom Unternehmen getrof­fen wur­den, z.B. (1) Deak­tivierung von TPM, (2) Abschal­tung von Secure Boot, (3) Löschung des RAM-Spe­ich­ers beim Booten, (4) Booten von beliebi­gen USB-Geräten, (5) Ent­fer­nen des UEFI Kon­fig­u­ra­tionspass­wortes, (6) Löschung eines UEFI-Boot-Pass­wortes, etc. Der hier beschriebene Angriff deak­tiviert zumin­d­est (2), (3) und (4).

Sekunde 52: Sobald der ISP-Pro­gram­mer vom Chip ent­fer­nt wird, wird die Stromver­sorgung wieder­hergestellt und der Rech­n­er startet neu.

Minute 1:03: Da der Haupt­spe­ich­er durch das manip­ulierte UEFI nicht mehr gelöscht und das Booten vom USB-Stick ermöglich wird, startet der „Dieb“ ein Lin­ux Betrieb­ssys­tem vom USB-Stick und kann den Haupt­spe­ich­er mit herkömm­lichen Lin­ux Mit­teln durch­suchen.

Minute 1:07: Das ver­trauliche Pass­wort wird dargestellt, mit der gle­ichen Meth­ode kann auch der Bit­Lock­er Schlüs­sel aus dem Haupt­spe­ich­er aus­ge­le­sen wer­den.

Foren­sis­che Tools wie Elcom­soft Dis­trib­uted Pass­word Recov­ery kön­nen aus einem Haupt­spe­ich­er-Dump — der unter Lin­ux ein­fachst erstellt wer­den kann — den Bit­Lock­er Vol­ume Mas­ter Key ausle­sen. Mit diesem Schlüs­sel kann die Bit­Lock­er ver­schlüs­selte HDD oder SSD auf einem beliebi­gen Gerät ein­ge­le­sen wer­den.

Hier das Video vom Bit­Lock­er Hack:

Das der Hack speziell bei Bit­Lock­er ver­schlüs­sel­ten Sys­te­men ohne Pre-Boot-Authen­tisierung anwend­bar ist, hat Microsoft bere­its im Sep­tem­ber 2018 die Sicher­heit­sempfehlun­gen für die Bit­Lock­er Ver­schlüs­selung in einem neuen Bit­Lock­er Maß­nah­menkat­a­log (Stand 06. Sep­tem­ber 2018) erweit­ert und emp­fiehlt nun drin­gend eine Pre-Boot-Authen­tisierung wie TPM mit PIN. Lesen Sie hierzu unsere deutsche Über­set­zung des Bit­Lock­er Maß­nah­menkat­a­logs mit zusät­zlichen Sicher­heits-Empfehlun­gen: https://www.cpsd.at/bitlocker-massnahmenkatalog-2018/