使用BitLocker并加入域的Windows计算机应尽快打补丁
作者:卢西恩·康斯坦丁(Lucian Constantin)2015-11-14 翻译:PurpleEndurer
!伊恩·哈肯(Ian Haken)在阿姆斯特丹举行的黑帽欧洲安全会议上,2015年11月13日,卢西恩康斯坦丁(Lucian Constantin)
依托微软BitLocker加密员工计算机硬盘的公司应该立即安装最新的Windows补丁。一位研究员透露一个简单的Windows身份验证绕行方法,这让BitLocker加密驱动器中的数据处于危险之中。这个漏洞已在本周早些时候修复。
伊恩·哈肯(Ian Haken)是Synopsys公司的软件安全测试研究员,他周五(译者注:2015-11-13)在阿姆斯特丹举行的黑帽欧洲安全会议上演示了攻击。该问题影响连接到域的Windows计算机,而这是企业网络中常见的配置。
在Windows上使用基于域的认证时,用户的密码会被充当域控制器的计算机核对。然而,在某些情况下时,例如,一台笔记本电脑脱离网络,无法连上域控制器时,身份验证就依赖于机器上缓存的本地凭据。
为了防止攻击者将被盗、丢失或无人看管的笔记本电脑连接到不同的网络,并创建一个伪域控制器来接受另一个密码进行解锁,认证协议也会验证了计算机本身在域控制器上注册的单独的计算机密码。
当控制器无法连上时,这项附加检查就不会发生,因为该协议的开发者们假设攻击者不能改变存储在本地高速缓存中的用户密码。然而,哈肯想出了一个办法做到这一点 - 并且如果这个过程可以实现自动化的话,只需要几秒钟。
首先,攻击者建立一个模拟域控制器,这个控制器的名字与所述一个笔记本电脑应该连接到的域控制器相同。然后,他在这个模拟域控制器上创建了的与笔记本电脑用户相同的用户帐户,并为其创建一个过期的口令。
当身份验证机制尝试对笔记本电脑上的攻击者的密码进行核对时,域控制器将通知笔记本电脑上的Windows密码已过期,用户将自动被提示去修改密码。这一个过程发生在对该电脑在控制器注册的密码进行核实之前。
此时,攻击者就可以在笔记本电脑上创建一个新的密码,替换本地凭据缓存中的原始密码。
因为控制器上没有笔记本电脑的机器密码,所以连接到恶意域控制器登录仍然会失败。然而攻击者可以断开笔记本电脑的网络连接,迫使验证流程回退到本地认证,这就大功告成了,因为只需要对缓存的用户密码进行验证。
这是一个自Windows 2000以来的身份验证协议中一直存在的逻辑缺陷,该研究员表示。但是,作为Windows威胁模型一部分的物理访问将不起作用,因为在这种情况下,攻击者可以从备用源例如一个Linux光盘来启动,从而访问数据。
在BitLocker引入Windows Vista时,一切都改变了。微软的全磁盘加密技术,这是专业版和企业版本的Windows才能用的功能,在计算机被盗或丢失时专门用来保护数据——换句话说,就是针对未经授权就能进行物理访问这一情况。
BitLocker 数据加密密钥存储在TPM (Trusted Platform Module,受信任的平台模块),这是一个执行加密操作的安全硬件组件。在BitLocker第一次被激活后,只有以相同的过程启动之后,这个密钥才会从 TPM 启用。
引导过程的各个阶段都会进行密码验证,所以对一个启用BitLocker的笔记本电脑,如果攻击者从其他操作系统启动进行物理访问,将无法读取驱动器上存储的数据。在这种情况下,攻击者唯一可能利用的是先让系统正常启动,打开加密密钥,然后绕过Windows身份验证,从而访问数据,这正是哈肯的攻击之道。
微软在周二修复了这个缺陷并发布了相应的安全公告MS15-122。
哈肯说,这次攻击表明,对于安全,我们需要经常重新审查原先觉得可靠的理论,哈肯说。
BitLocker 提供了预启动身份验证的启用选项,除了TPM外,还可以使用 PIN 或 USB 驱动器来存储特别的密钥。然而,这样的配置对于企业来说难以消受,因为这会在用户中引起摩擦和分歧,并使管理员远程管理计算机变得很困难,哈肯说。
微软在文档中承认预启动身份验证是“现代IT世界中不能接受的,用户期望他们的设备即开即用,并且IT需要PC一直连接到网络 “。