UPGRD

Tutte le ultime notizie tech e non

sicurezza informatica

Windows 11 BitLocker violato: chiavi di crittografia estratte dalla memoria

By ,

Windows 11 BitLocker violato: chiavi di crittografia estratte dalla memoria

Un team di ricercatori ha dimostrato un metodo per bypassare la crittografia BitLocker di Windows 11, estraendo le chiavi di crittografia del volume (FVEK) direttamente dalla memoria.

Questa vulnerabilità mette in luce i rischi legati agli attacchi fisici e le potenziali debolezze nei meccanismi di protezione della memoria.

Come funziona l’attacco

L’attacco si basa sulla cattura dei contenuti della RAM di un computer durante il suo funzionamento. Se un malintenzionato ha accesso fisico al dispositivo, può riavviarlo bruscamente e estrarre i dati dalla memoria, inclusi le chiavi FVEK. Questo sfrutta il fatto che le chiavi di crittografia vengono temporaneamente memorizzate nella RAM mentre il sistema è in esecuzione.

Tecniche per preservare la memoria

  • Raffreddamento fisico della RAM: per rallentare la degradazione dei dati.
  • Mantenimento dell’alimentazione: utilizzando fonti esterne per evitare il taglio di corrente.

In una dimostrazione, l’attaccante ha cortocircuitato i pin di reset della scheda madre per riavviare il sistema senza interrompere l’alimentazione, preservando così l’integrità della memoria.

Bypass del Secure Boot

Il Secure Boot, uno standard di sicurezza progettato per impedire l’esecuzione di software non autorizzato all’avvio, può essere aggirato utilizzando tecniche come gli shim o altri exploit. Questi metodi consentono di caricare strumenti personalizzati per l’analisi della memoria.

Processo dell’attacco passo-passo

  1. Creazione di un dispositivo USB avviabile: una chiavetta USB con capacità superiore alla RAM del sistema target, contenente software specializzato per l’estrazione della memoria.

  2. Riavvio brusco del sistema: il sistema viene riavviato in un momento critico, come durante il caricamento di Windows ma prima della schermata di login, per catturare le chiavi di crittografia nella memoria.

  3. Avvio da USB: l’attaccante avvia una shell UEFI personalizzata dal dispositivo USB ed esegue strumenti per estrarre i contenuti della memoria.

  4. Analisi dei dump di memoria: i dati estratti vengono analizzati con strumenti come xxd e searchMem per individuare le chiavi crittografiche memorizzate in pool di memoria specifici.

Recupero delle chiavi

La chiave FVEK è stata trovata sotto specifici tag di pool di memoria del kernel Windows, come dFVE, associato al modulo di filtro per i crash dump di BitLocker (dumpfve.sys). Questo tag ha rivelato chiavi di crittografia precedute da metadati che indicano l’algoritmo utilizzato (ad esempio, XTS-AES-128).

Misure di mitigazione

  • Abilitare funzionalità di sicurezza hardware come il TPM (Trusted Platform Module).
  • Implementare misure di sicurezza fisica per prevenire accessi non autorizzati.
  • Microsoft potrebbe dover migliorare le pratiche di gestione delle chiavi per ridurre l’esposizione nella memoria volatile.

FAQ

Cos'è BitLocker e a cosa serve?

BitLocker è una funzionalità di crittografia integrata in Windows che protegge i dati su un disco rigido crittografando l'intero volume. Serve a prevenire accessi non autorizzati ai dati in caso di furto o perdita del dispositivo.

Come funziona l'attacco che ha violato BitLocker?

L'attacco sfrutta l'accesso fisico al computer per riavviarlo bruscamente e catturare i dati dalla RAM, dove le chiavi di crittografia FVEK sono temporaneamente memorizzate durante il funzionamento del sistema.

Quali tecniche possono essere utilizzate per preservare la memoria durante un attacco?

Le tecniche includono il raffreddamento fisico della RAM per rallentare la degradazione dei dati e il mantenimento dell'alimentazione utilizzando fonti esterne per evitare il taglio di corrente.

Cosa è il Secure Boot e come può essere aggirato?

Il Secure Boot è uno standard di sicurezza che impedisce l'esecuzione di software non autorizzato all'avvio. Può essere aggirato tramite tecniche come l'uso di shim o exploit per caricare strumenti personalizzati per l'analisi della memoria.

Qual è il processo passo-passo dell'attacco?

Il processo include la creazione di un dispositivo USB avviabile, il riavvio brusco del sistema, l'avvio da USB e l'analisi dei dump di memoria per individuare le chiavi crittografiche.

Dove sono state trovate le chiavi FVEK nella memoria?

Le chiavi FVEK sono state trovate sotto specifici tag di pool di memoria del kernel Windows, come 'dFVE', associato al modulo di filtro per i crash dump di BitLocker.

Quali misure di mitigazione possono essere adottate per proteggere i dati?

Le misure includono l'abilitazione di funzionalità di sicurezza hardware come il TPM, l'implementazione di misure di sicurezza fisica e il miglioramento delle pratiche di gestione delle chiavi da parte di Microsoft.

Qual è il rischio principale associato a questa vulnerabilità?

Il rischio principale è che un attaccante con accesso fisico al dispositivo possa estrarre le chiavi di crittografia, compromettendo la sicurezza dei dati protetti da BitLocker.

Che tipo di software è necessario per l'estrazione della memoria?

È necessario un software specializzato che può essere caricato su un dispositivo USB avviabile, progettato per estrarre i contenuti della memoria durante l'attacco.

Quali algoritmi di crittografia sono utilizzati da BitLocker?

BitLocker utilizza algoritmi di crittografia come XTS-AES-128 per proteggere i dati, come indicato dai metadati trovati insieme alle chiavi di crittografia nella memoria.

Precedente

MSI RTX 5080 GAMING Trio: Prime immagini trapelate

Successivo

Skyblivion: Il Progetto Fan-Made di Oblivion che Sorprende e Ispira