Trans­par­ente Ver­schlüs­selung — Bit­Lock­er ohne Authen­tisierung

Die trans­par­ente Bit­Lock­er Ver­schlüs­selung (z.B. ohne Cryp­to­Pro Secure Disk for Bit­Lock­er) lädt kom­plett automa­tisch den Bit­Lock­er AES Vol­u­men-Encryp­tion-Key und startet Win­dows. Dieser Vor­gang erfordert einen ini­tial­isierten TPM Chip und Secure-Boot zum Schutz des Boot-Prozess­es.

Jedoch bietet ein automa­tis­ch­er Start eines ver­schlüs­sel­ten Clients einem Angreifer eine bre­ites Spek­trum an Angriffsvek­toren gegen das laufende Win­dows Betrieb­ssys­tem.

BitLocker ohne Benutzeridentifizierung / Authentisierung

Bezugnehmend auf https://wccftech.com/microsoft-patches-50-security-windows-10/ wur­den am 14. Novem­ber  2017 die Microsoft Patch­es KB4048955 (OS Build 16299.64) und KB4048954 (OS Build 15063.726 and 15063.728) veröf­fentlicht, die 53 Secu­ri­ty Schwach­stellen schließen. Davon sind 20 als “kri­tisch” eingestuft und 30 als “wichtig”.

Microsoft Tech­Net definiert eine kri­tis­che Schwach­stelle wie fol­gt:

Eine Sicher­heit­slücke dessen Aus­nutzung eine Aus­führung von Code ohne jegliche Benutzer­in­ter­ak­tion erlaubt. Diese Szenar­ien inkludierten selb­st fortpflanzende Mal­ware (z.B. Net­zw­erk Würmer) oder unver­mei­d­bare Szenar­ien in denen Code Aus­führung ohne War­nun­gen oder Eingabeauf­forderun­gen  erfol­gen. Dies kann das Sur­fen auf ein­er Web­seite oder das Öff­nen ein­er Email sein. Microsoft emp­fiehlt, dass Kun­den kri­tis­che Updates sofort ein­set­zen.

Für eine gestohlenes Win­dows Client Gerät bedeutet das, dass ein Angreifer nur ein paar Wochen zuwarten muss, um eine Fülle an doku­men­tierten und unge­fix­ten kri­tis­chen Sicher­heit­slück­en auf einem Client-Sys­tem zu haben und darüber ein­brechen kann!

Dies kann ein­fach durch ein kryp­tographis­ches Schloss (ein­er Pre-Boot-Authen­tisierung — PBA) ver­mieden wer­den, bevor das Win­dows OS startet.

Nutzen Sie keine trans­par­ente Ver­schlüs­selung mit Microsoft Bit­Lock­er, da dies Ihre Dat­en möglicher­weise HEUTE schützt — bei einem aktuell gepatcht­en Client, jedoch defin­i­tiv nicht MORGEN — bei einem ungepatcht­en Client mit kri­tis­chen Schwach­stellen!

2017-12-03T19:04:49+00:00 22.11.2017|

Über den Autor:

Andreas Schuster ist 45 Jahre alt und wohnt in Wien. Vor über 20 Jahren hat er sein Hobby die IT zum Beruf gemacht und arbeitet seit vielen Jahren in der Crypto-Branche. Sein technisches Interesse an allem das ein Kabel hat (exklusive Weißwaren...) bringt immer wieder spannende Blog-Inhalte.

Hinterlassen Sie einen Kommentar