Das US-Sicherheitsunternehmen Synopsys hat auf eine Schwachstelle in Microsofts Festplattenverschlüsselungstool Bitlocker hingewiesen (PDF). Die Verschlüsselung eines Windows-Systems lässt sich demnach in kürzester Zeit aushebeln – auch von einem unerfahrenen Angreifer. Seit Dienstag ist allerdings der Patch MS15-122 erhältlich, der die Lücke schließen soll.
Bitlocker ist Bestandteil von Windows Server ab Version 2008 sowie der Ultimate- und Enterprise-Versionen von Windows Vista und Windows 7 und der Pro- und Enterprise-Versionen von Windows 8, 8.1 und 10. Es ermöglicht eine vollständige Laufwerksverschlüsselung und soll verhindern, dass sich Unbefugte beispielsweise mithilfe einer Linux-Live-CD Zugang zu persönlichen Daten verschaffen.
Synopsis-Mitarbeiter Ian Haken beschreibt in einem Papier eine Methode, Bitlocker auf Systemen zu deaktivieren, die mit einer Domäne verbunden sind. Wird diese Verbindung getrennt, nutzt der Computer für die Anmeldung ein in einem lokalen Zwischenspeicher abgelegtes Passwort.
Haken wiederum hat nach eigenen Angaben eine Methode entwickelt, dieses zwischengespeicherte Passwort zu ändern – das Original-Passwort wird dafür nicht benötigt. Dafür richtete er eine gefälschte Domain mit demselben Namen sowie ein Nutzerkonto mit einem bereits vor Jahren angelegten Passwort ein. Ist auf dem Rechner eine Richtlinie für ein Höchstalter des Passworts definiert, fordert das System den Nutzer auf, ein neues Passwort zu hinterlegen – ohne dabei das alte Kennwort abzufragen. Danach kann sich der Nutzer auch ohne Verbindung zur Domäne mit dem neuen Passwort anmelden, wodurch auch die Daten auf dem Laufwerk entschlüsselt werden. Die Automatisierung dieses Verfahrens erlaube es einem nicht autorisierten Nutzer, Bitlocker innerhalb weniger Sekunden abzuschalten, erklärte Haken.
Die Bedeutung von Windows 10 für das moderne Unternehmen
Mit Windows 10 beginnt eine ganz neue Ära des Enterprise Computing. In Windows 10 werden bisher getrennte Betriebssystemversionen für die traditionellen Windows-PCs, Tablets und Smartphones auf einer Plattform zusammengeführt und von einem EMM-Anbieter verwaltet.
Microsoft beschreibt den in der vergangenen Woche veröffentlichten Patch MS15-122 als ein „Sicherheitsupdate für Kerberos zum Unterbinden einer Umgehung von Sicherheitsfunktionen“. Der Beschreibung des Patches zufolge funktioniert der von Haken entwickelte Angriff nur, wenn Bitlocker „auf dem Zielsystem ohne PIN oder USB-Schlüssel aktiviert wurde“.
Haken weist laut Computerworld jedoch darauf hin, dass die Preboot-Authentifizierung mit PIN oder USB-Schlüssel nur selten verwendet werde, da sie unter anderem eine Wartung von PCs aus der Ferne erschwere. Auch Microsoft räume in seiner eigenen Dokumentation ein, dass die Authentifizierung vor dem Start des Betriebssystems in „der modernen IT-Welt, in der Nutzer erwarten, dass ihre Geräte sofort starten, und die IT konstant mit dem Netzwerk verbundene PCs verlangt, inakzeptabel“ sei.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Neueste Kommentare
5 Kommentare zu Bitlocker: Windows-Festplattenverschlüsselung lässt sich in „Sekunden“ umgehen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
ist doch nichts neues microsoft hatte schon in win 7 n bitlocker backdoor für geheimdienste um die verschlüsselung auszuhebeln bzw der entschlüsselungs key wird in ner spezielen datei gespeichert die auch jeder normale user benutzen kann googelt mal nach „registry shit list“ bzw „microsoft backdoors“ da findet man genug und mit hilfe der registry shit list einfach zu entfernen – gibt ja noch dutzende andere solcher registry backdoors für geheimdienste zb die remote aktivierung vom rdp ohne das der user was mitbekommt und manche der backdoors brauchen nicht mal admin rechte
Bitte Quellen.
Wenn ich den Artikel richtig gelesen habe, funktioniert das aber auch bei Preboot-Authentifizierung. Wenn das Geraet naemlich bereits in den Loginscreen hochgefahren wurde. („For example, if a laptop were left unattended only briefly, an automated version of this exploit could allow an attacker to bypass the lock screen and plant malware on the computer in a matter of seconds, whereas an alternate attacks requiring a full reboot would be too time-consuming and more noticeable.“) Es ist ja kein Reboot notwendig, daher spielt an der Stelle die Preboot-Authentifizierung keine Rolle mehr.
Viel heiße Luft um NICHTS. Im verlinkten PDF wird beschrieben, dass die Pre-Boot Authentication (Also das eigentlich wichtige) deaktiviert sein muss.
Nur unter diesen Umständen funktioniert die Attacke.
Standardmäßig ist meines Wissens nach die Pre-Boot Authentication aktiviert…
Funktioniert also nur in den seltensten Fällen. Aber Hauptsache mal wieder Microsoft bashen :).
Das sehe ich nicht so. Wenn der Rechner hochgefahren ist, scheint die Attacke trotzdem zu funktionieren, auch wenn Pre-Boot Authentication aktiv ist (die zu diesem Zeitpunkt bereits verarbeitet wurde). Es gibt auch genügend Firmen die Pre-Boot Authentication nicht aktiv haben, da damit administrative Probleme einhergehen (nach Reboot wegen Patch hängt der Rechner in der Pre-Boot Authentication fest, …). Das Problem scheint einfach in der Kerberos Authentifizierung zwischen Client und DC zu liegen. Der Client dürfte den gefakten DC gar nicht erst akzeptieren und mit diesem Passwörter etc. austauschen – aber das scheint ja der Patch zu beheben.