http://p3.qhimg.com/t010d9bd29c9d37fd78.png

使用BitLocker的加入域Windows计算机应该尽快修补。那些依赖微软的BitLocker来加密员工的计算机硬盘的公司应该立刻安装最新的Windows补丁。一位研究人员在本周透露一个简单的Windows身份验证绕过便使得BitLocker加密驱动器里的数据有安全风险。

伊恩哈肯,一位软件安全测试公司Synopsys里的研究员,在星期五于阿姆斯特丹举行的黑帽欧洲安全会议上向大家展示了这种网络攻击。影响微软计算机的问题出在了某个域的一部分,它是在企业网络中常见的配置的一部分。

当在Windows上使用这种基于域的身份认证时,用户的密码会和作为域控制器的计算机进行比对。但是,有的情况下,比如一台笔记本电脑用的是外部的网络,域控制器无法到达时,身份验证就依赖于计算机上缓存的本地凭证。

为了防止攻击者将被盗,丢失或无人看管的笔记本电脑连接到一个不同的网络并创建一个接受另一个密码才能解锁的具有欺骗性的域控制器,认证协议也会验证机器本身是否用了一个单独的密码在域控制器上注册。

这一附加检查在控制器无法达到时是不会发生的,因为该协议的研发者认为攻击者是不能改变储存在本地缓存中的用户密码的。但是海恩找到了一个方法能做到这点,而且如果是自动化的话,只需要几秒钟。

http://p1.qhimg.com/t016dccf51324245b2c.jpg

它是怎么运作的

首先,攻击者建立了一个模拟域控制器,这一控制器和笔记本电脑本应该连接到的域控制器名字相同。然后他在控制器上创建了相同的用户账户,并为其创建一个密码,附上过去的创建日期。

当身份认证验证电脑上攻击者设置的密码时,域控制器将通知Windows密码已经过期,用户会被自动提示提醒更改密码。这一验证是发生在验证计算机是否在控制器上注册之前。

在这一点上,攻击者将有能力在笔记本电脑上创建一个新密码,从而取代储存在本地缓存里的那个原始密码。

当连接到恶意域控制器时,登陆依然会失败,因为控制器没有机器的密码。但是攻击者可以断开电脑网络以迫使回到本地认证,这是可以成功的,因为只有用户密码可以应对本地缓存的验证。

“这是从Windows 2000开始就存在的一个逻辑上的缺陷”,一位研究人员说。但是,物理访问不是Windows威胁模型的一部分,因为在这种情况下攻击者可以从备用源引导,就像Linux光盘始终能够拥有访问数据的权限一样。

当BitLocker被引入到Windows Vista时,这一切都改变了。微软的全磁盘加密技术,这在专业版和企业版的Windows中可用,是专门设计用来保护计算机中的数据以防电脑被盗或丢失,换句话说就是防止一个未经授权的人能够拥有物理访问计算机数据的资格。

BitLocker将数据加密密钥存储在可信平台模块(TPM)中,一个执行加密操作的安全硬件组件。只有当BitLocker先被激活,相同的启动过程紧随其后时,密钥才从TPM中启封。

启动过程的各个阶段都是要进行密码验证的,所以拥有访问启动BitLocker的笔记本电脑权限的攻击者无法通过启动另一个操作系统来读取驱动器上存储的数据。在这种情况下,对攻击者来说,唯一的可能是通过正常的启动来解锁加密密钥,然后绕过Windows的身份验证来获得访问数据的权限,这是哈肯攻击所允许的。

微软公司修复了这一漏洞并在周二公布了相应的MS15-122安全公告。

“这次攻击说明当涉及到安全问题时,我们需要不断地审视旧的事实真理”,哈肯说。

BitLcker提供了除了TPM之外确保预启动身份验证的方法,可以利用施加一个特殊密钥的PIN或USB驱动器。但是这样的配置企业是很难买账的,因为这不仅对用户来说增加了麻烦,也使得管理者难以远程操控管理电脑,哈肯说。

微软在它自己的文档里承认预启动认证“在现代IT世界里是不被接受的,因为用户希望他们的设备能够立即开启并且一直保持和网络连接的状态”。

文章原文链接:https://www.anquanke.com/post/id/82925