Chức năng mã hóa BitLocker trong Windows có thể bị đánh bại

bitlocker-logoCác công ty sử dụng Microsoft BitLocker để mã hóa ổ đĩa máy tính của nhân viên nên cài đặt bản vá lỗi Windows mới nhất ngay lập tức. Một nhà nghiên cứu đã tiết lộ xác thực Windows bị xâm nhập, gây nguy hiểm cho  dữ liệu trong ổ đĩa BitLocker.

 

 

Ian Haken, một nhà nghiên cứu của hãng bảo mật thử nghiệm phần mềm Synopsys, đã chứng minh cuộc tấn công này hôm thứ Sáu tại hội nghị bảo mật Black Hat Europe ở Amsterdam. Vấn đề này ảnh hưởng đến các máy tính sử dụng Windows – cấu hình phổ biến trong các mạng doanh nghiệp.

Khi tên miền dựa trên xác thực được sử dụng trên Windows, mật khẩu của người dùng được kiểm tra với một máy tính có chức năng như bộ điều khiển tên miền. Tuy nhiên, trong các tình huống khi một laptop không có mạng và các bộ điều khiển miền không thể tiếp cận, xác thực dựa trên các thông tin bộ nhớ cache cục bộ trên máy.

Để ngăn chặn kẻ tấn công từ kết nối với laptop bị đánh cắp, bị mất hoặc không được giám sát và ngăn chặn tạo ra một bộ điều khiển miền giả mạo chấp nhận mật khẩu để mở khóa, các giao thức xác thực phải xác nhận rằng chính laptop này được đăng ký trên bộ điều khiển tên miền sử dụng một mật khẩu máy tính riêng biệt.

Kiểm tra bổ sung này không xảy ra khi bộ điều khiển không thể tiếp cận, bởi vì các nhà phát triển giao thức giả định rằng những kẻ tấn công không thể thay đổi mật khẩu người dùng được lưu trữ trong bộ nhớ cache cục bộ. Tuy nhiên, Haken đã tìm ra cách để làm điều đó và nó chỉ mất một vài giây.

Nó hoạt động như thế nào?

Đầu tiên, những kẻ tấn công thiết lập một bộ điều khiển tên miền giả có cùng tên để kết nối. Sau đó, tạo tài khoản người dùng trên cùng một bộ điều khiển như trên máy tính xách tay và tạo một mật khẩu cho nó với ngày tháng tạo lùi xa về quá khứ.

Khi xác thực đã được thử với mật khẩu của kẻ tấn công trên các máy tính xách tay, các bộ điều khiển tên miền sẽ thông báo cho Windows biết rằng mật khẩu đã hết hạn và người sử dụng sẽ tự động được nhắc nhở để thay đổi nó. Điều này xảy ra trước khi xác minh rằng máy tính cũng đã được đăng ký trên bộ điều khiển.

Tại thời điểm này, kẻ tấn công sẽ có khả năng tạo ra một mật khẩu mới trên laptop, sẽ thay thế mật khẩu gốc ở các thông tin bộ nhớ cache cục bộ.

Đăng nhập trong khi được kết nối với bộ điều khiển miền giả mạo vẫn sẽ thất bại, bởi vì bộ điều khiển không có mật khẩu máy. Tuy nhiên, kẻ tấn công có thể ngắt kết nối với laptop từ mạng để thực hiện xác thực dự phòng, đăng nhập sẽ thành công vì chỉ có mật khẩu người dùng được xác nhận đối với bộ nhớ cache.

Các nhà nghiên cứu cho biết, đây là một lỗ hổng logic mà đã có trong các giao thức xác thực từ Windows 2000. Tuy nhiên, truy cập thực đã không được sử dụng để đe dọa Windows, bởi trong một tình huống như vậy kẻ tấn công có thể khởi động từ một nguồn thay thế, như một đĩa CD Linux để truy cập vào dữ liệu.

Tất cả đã thay đổi khi chức năng BitLocker đã được giới thiệu trong Windows Vista. Công nghệ mã hóa toàn bộ ổ đĩa của Microsoft, trong đó có sẵn trong các phiên bản chuyên nghiệp và dành cho doanh nghiệp của Windows. BitLocker được thiết kế đặc biệt để bảo vệ dữ liệu trong trường hợp máy tính bị đánh cắp hoặc bị mất, nói cách khác khi một cá nhân khác có quyền truy cập trái phép vào máy tính.

BitLocker lưu trữ các khóa mã hóa dữ liệu trong một Trusted Platform Module (TPM) – một thành phần phần cứng bảo mật thực hiện các hàm mã hóa (cryptographic operations). Khóa được niêm phong từ TPM chỉ khi quá trình khởi động giống như khi BitLocker lần đầu tiên được kích hoạt.

Các giai đoạn khác nhau của quá trình khởi động được xác minh theo mã hóa, do đó kẻ tấn công với truy cập vào một laptop được kích hoạt BitLocker sẽ không thể khởi động từ một hệ điều hành thay thế để đọc các dữ liệu được lưu trữ trên ổ đĩa. Khả năng duy nhất còn lại cho những kẻ tấn công trong trường hợp này là khởi động bình thường để mở khóa các khóa mã hóa và sau đó vượt qua xác thực Windows để truy cập vào các dữ liệu.

Microsoft đã vá các lỗ hổng vào thứ ba và thông báo trong bản tin  an ninh tương ứng MS15-122

Cuộc tấn công này cho thấy rằng khi nói đến bảo mật, chúng ta cần liên tục xem xét lại những chân lý cũ, Haken nói.

Ngoài các TPM, BitLocker cung cấp tùy chọn để cho phép xác thực preboot sử dụng một mã PIN hoặc một ổ đĩa USB với một khóa đặc biệt trên đó. Tuy nhiên, cấu hình như vậy lại khó bán cho các doanh nghiệp, vì họ làm cho nó khó khăn với các quản trị viên để quản lý máy tính từ xa, Haken nói thêm.

Trong tài liệu riêng của hãng, Microsoft thừa nhận rằng xác thực preboot là “không thể chấp nhận trong thế giới công nghệ hiện đại, nơi mà người dùng mong đợi thiết bị của họ có thể khởi động ngay lập tức và CNTT đòi hỏi máy tính phải được liên tục kết nối với mạng.”

Nguồn : pcworld.com

Ads

https://vnitnews.com

Leave a Reply

Email của bạn sẽ không được hiển thị công khai.