混沌通信大會 (38C3)上，安全研究員Thomas Lambertz展示了一個(gè)名為“bitpixie”(CVE-2023-21563)的漏洞。

“bitpixie”漏洞通過利用Windows啟動(dòng)管理器的降級攻擊，使攻擊者可以在不物理篡改設(shè)備的情況下繞過安全啟動(dòng)，只需要能夠插入網(wǎng)線和鍵盤即可解密磁盤。這一漏洞凸顯了Windows 11上BitLocker默認(rèn)配置中的一個(gè)嚴(yán)重缺陷，對依賴它進(jìn)行數(shù)據(jù)保護(hù)的用戶敲響了警鐘。

BitLocker是微軟的全盤加密技術(shù)，旨在通過加密整個(gè)驅(qū)動(dòng)器來保護(hù)敏感數(shù)據(jù)。它依賴安全啟動(dòng)和可信平臺模塊（TPM）來確保加密密鑰僅在啟動(dòng)期間釋放給受信任的組件。然而，bitpixie漏洞利用了這一過程中的設(shè)計(jì)缺陷。

該漏洞如何發(fā)揮作用？

該漏洞的根源在于Windows啟動(dòng)管理器在特定恢復(fù)流程中，未能從內(nèi)存中清除加密密鑰。攻擊者可以通過將啟動(dòng)加載程序降級到較舊的、易受攻擊的版本來利用這一點(diǎn)。

具體過程如下：

• 啟動(dòng)器降級：通過網(wǎng)絡(luò)啟動(dòng)（PXE啟動(dòng)），攻擊者加載一個(gè)過時(shí)的Windows啟動(dòng)管理器，該版本仍存在漏洞。
• 觸發(fā)恢復(fù)模式：降級后的啟動(dòng)器會觸發(fā)恢復(fù)序列，導(dǎo)致BitLocker保護(hù)數(shù)據(jù)所需的卷主密鑰（VMK）留在系統(tǒng)內(nèi)存中。
• 內(nèi)存轉(zhuǎn)儲：攻擊者隨后啟動(dòng)到Linux環(huán)境中，并使用取證工具從內(nèi)存中提取VMK。
• 解密數(shù)據(jù)：一旦獲得VMK，攻擊者即可完全訪問加密的硬盤。

這種攻擊無需打開筆記本電腦或訪問內(nèi)部組件，對于被盜設(shè)備來說尤其令人擔(dān)憂。

Windows漏洞問題

BitLocker依賴安全啟動(dòng)和TPM進(jìn)行無人值守解密，雖然這些機(jī)制可以通過在啟動(dòng)時(shí)自動(dòng)解鎖硬盤來簡化用戶體驗(yàn)，但它們在被利用時(shí)也會產(chǎn)生漏洞，bitpixie就暴露了這一重大弱點(diǎn)。

主要問題包括：

• 廣泛的適用性：該漏洞影響所有使用BitLocker默認(rèn)“設(shè)備加密”模式的設(shè)備，而許多Windows 11系統(tǒng)默認(rèn)啟用此模式。
• 易于執(zhí)行：該攻擊僅需對設(shè)備進(jìn)行物理接觸，并使用鍵盤和網(wǎng)絡(luò)連接等基本工具。
• 持續(xù)風(fēng)險(xiǎn)：盡管微軟在2022年底發(fā)布了補(bǔ)丁，但由于安全啟動(dòng)證書撤銷的限制，攻擊者仍可通過啟動(dòng)器降級繞過保護(hù)。

緩解策略

微軟承認(rèn)完全解決這一漏洞存在挑戰(zhàn)。盡雖然較新的啟動(dòng)加載程序已修復(fù)該問題，但由于安全啟動(dòng)無法普遍強(qiáng)制執(zhí)行嚴(yán)格的降級保護(hù)，舊版本仍然可利用。為降低風(fēng)險(xiǎn)，建議用戶采取以下額外安全措施：

• 啟用預(yù)啟動(dòng)身份驗(yàn)證：配置BitLocker使用預(yù)啟動(dòng)PIN，確保加密密鑰不會在沒有用戶交互的情況下自動(dòng)釋放。
• 應(yīng)用KB5025885更新：該更新引入了額外的安全啟動(dòng)證書并撤銷了舊證書，減少降級攻擊的暴露。
• 調(diào)整 PCR 配置：更改TPM平臺配置寄存器（PCRs）以包含額外的測量值，可以防止未經(jīng)授權(quán)的密鑰釋放。
• 禁用網(wǎng)絡(luò)啟動(dòng)選項(xiàng)：在BIOS/UEFI設(shè)置中限制PXE啟動(dòng)功能，可以阻止主要的攻擊途徑之一。

bitpixie等漏洞的持續(xù)存在，凸顯了基于硬件的安全實(shí)現(xiàn)所面臨的更廣泛問題。由于固件限制以及對制造商更新的依賴，在所有設(shè)備上更新安全啟動(dòng)證書是一個(gè)緩慢的過程。

微軟計(jì)劃在2026年前引入新的安全啟動(dòng)證書，但這留下了很大的的漏洞窗口。

參考鏈接：https://cybersecuritynews.com/windows-11-bitlocker-encrypted-files-accessed/