使用BitLocker並加入域的Windows計算機應儘快打補丁
作者:盧西恩·康斯坦丁(Lucian Constantin)2015-11-14 翻譯:PurpleEndurer
!伊恩·哈肯(Ian Haken)在阿姆斯特丹舉行的黑帽歐洲安全會議上,2015年11月13日,盧西恩康斯坦丁(Lucian Constantin)
依託微軟BitLocker加密員工計算機硬盤的公司應該立即安裝最新的Windows補丁。一位研究員透露一個簡單的Windows身份驗證繞行方法,這讓BitLocker加密驅動器中的數據處於危險之中。這個漏洞已在本週早些時候修復。
伊恩·哈肯(Ian Haken)是Synopsys公司的軟件安全測試研究員,他週五(譯者注:2015-11-13)在阿姆斯特丹舉行的黑帽歐洲安全會議上演示了攻擊。該問題影響連接到域的Windows計算機,而這是企業網絡中常見的配置。
在Windows上使用基於域的認證時,用戶的密碼會被充當域控制器的計算機覈對。然而,在某些情況下時,例如,一臺筆記本電腦脫離網絡,無法連上域控制器時,身份驗證就依賴於機器上緩存的本地憑據。
爲了防止攻擊者將被盜、丟失或無人看管的筆記本電腦連接到不同的網絡,並創建一個僞域控制器來接受另一個密碼進行解鎖,認證協議也會驗證了計算機本身在域控制器上註冊的單獨的計算機密碼。
當控制器無法連上時,這項附加檢查就不會發生,因爲該協議的開發者們假設攻擊者不能改變存儲在本地高速緩存中的用戶密碼。然而,哈肯想出了一個辦法做到這一點 - 並且如果這個過程可以實現自動化的話,只需要幾秒鐘。
首先,攻擊者建立一個模擬域控制器,這個控制器的名字與所述一個筆記本電腦應該連接到的域控制器相同。然後,他在這個模擬域控制器上創建了的與筆記本電腦用戶相同的用戶帳戶,併爲其創建一個過期的口令。
當身份驗證機制嘗試對筆記本電腦上的攻擊者的密碼進行覈對時,域控制器將通知筆記本電腦上的Windows密碼已過期,用戶將自動被提示去修改密碼。這一個過程發生在對該電腦在控制器註冊的密碼進行覈實之前。
此時,攻擊者就可以在筆記本電腦上創建一個新的密碼,替換本地憑據緩存中的原始密碼。
因爲控制器上沒有筆記本電腦的機器密碼,所以連接到惡意域控制器登錄仍然會失敗。然而攻擊者可以斷開筆記本電腦的網絡連接,迫使驗證流程回退到本地認證,這就大功告成了,因爲只需要對緩存的用戶密碼進行驗證。
這是一個自Windows 2000以來的身份驗證協議中一直存在的邏輯缺陷,該研究員表示。但是,作爲Windows威脅模型一部分的物理訪問將不起作用,因爲在這種情況下,攻擊者可以從備用源例如一個Linux光盤來啓動,從而訪問數據。
在BitLocker引入Windows Vista時,一切都改變了。微軟的全磁盤加密技術,這是專業版和企業版本的Windows才能用的功能,在計算機被盜或丟失時專門用來保護數據——換句話說,就是針對未經授權就能進行物理訪問這一情況。
BitLocker 數據加密密鑰存儲在TPM (Trusted Platform Module,受信任的平臺模塊),這是一個執行加密操作的安全硬件組件。在BitLocker第一次被激活後,只有以相同的過程啓動之後,這個密鑰纔會從 TPM 啓用。
引導過程的各個階段都會進行密碼驗證,所以對一個啓用BitLocker的筆記本電腦,如果攻擊者從其他操作系統啓動進行物理訪問,將無法讀取驅動器上存儲的數據。在這種情況下,攻擊者唯一可能利用的是先讓系統正常啓動,打開加密密鑰,然後繞過Windows身份驗證,從而訪問數據,這正是哈肯的攻擊之道。
微軟在週二修復了這個缺陷併發布了相應的安全公告MS15-122。
哈肯說,這次攻擊表明,對於安全,我們需要經常重新審查原先覺得可靠的理論。
BitLocker 提供了預啓動身份驗證的啓用選項,除了TPM外,還可以使用 PIN 或 USB 驅動器來存儲特別的密鑰。然而,這樣的配置對於企業來說難以消受,因爲這會在用戶中引起摩擦和分歧,並使管理員遠程管理計算機變得很困難,哈肯說。
微軟在文檔中承認預啓動身份驗證是“現代IT世界中不能接受的,用戶期望他們的設備即開即用,並且IT需要PC一直連接到網絡 “。
英文原文 :http://www.networkworld.com/article/3005179/bitlocker-encryption-can-be-defeated-with-trivial-windows-authentication-bypass.html