Nieuws
image

Shift+F10 tijdens Windows 10-update omzeilt BitLocker

woensdag 30 november 2016, 10:54 door Redactie, 7 reacties

Een kwetsbaarheid tijdens het Windows 10-updateproces maakt het mogelijk om de BitLocker-encryptie te omzeilen en kan een gebruiker met verminderde rechten systeemrechten geven. Het probleem doet zich voor tijdens het upgraden naar nieuwere versies van Windows 10.

Tijdens dit proces is het mogelijk om via Shift+F10 een Command Prompt te openen. Hierdoor kan de gebruiker de met BitLocker versleutelde schijf benaderen, aangezien BitLocker tijdens het upgradeproces tijdelijk is opgeschort, zo ontdekte beveiligingsonderzoeker Sami Laiho. Aangezien de methode alleen werkt voor gebruikers die al toegang tot een computer hebben is volgens Laiho het echte probleem de mogelijkheid om rechten te verhogen.

Een gebruiker met verminderde rechten kan op deze manier namelijk systeemrechten krijgen. De onderzoeker schetst een scenario waarbij een kwaadwillende werknemer bijvoorbeeld beheerderstoegang wil krijgen. Hiervoor hoeft alleen op de volgende upgrade te worden gewacht. Microsoft werkt inmiddels aan een oplossing. Tot het verschijnen van een patch adviseert Laiho om geen onbeheerde upgrades toe te staan.

Kritiek

Sommige critici stellen dat als aanvallers die dergelijke fysieke toegang tot een computer hebben dat ze kunnen wachten op een upgrade, de organisatie in kwestie veel grotere problemen heeft. Ook zou het probleem van Shift+F10 tijdens upgrades al langer bekend zijn geweest. "BitLocker wordt niet alleen gebruikt voor het beschermen van gegevens. Bedrijven gebruiken het om te voorkomen dat reguliere gebruikers beheerder kunnen worden. Het is vooral bedoeld om de integriteit van de machine te beschermen. Vanuit een systeembeheerder gezien is de reguliere gebruiker de aanvaller. Als de gebruiker de mogelijkheid heeft om beheerdersrechten te krijgen, heeft de systeembeheerder verloren. Dit is dus wel degelijk een groot probleem zoals Sami laat zien", antwoordt Gunnar Haslinger op de critici.

Wat betreft laptops die met BitLocker zijn versleuteld en staan uitgeschakeld of zich in slaapstand bevinden en er van preboot-authenticatie gebruik wordt gemaakt is er volgens Laiho geen probleem. De kwetsbaarheid kan in dit geval niet worden gebruikt om het systeem aan te vallen. Systemen waar dit niet geval is lopen wel risico. "Als je computer aan gaat en je hebt automatische upgrades ingeschakeld staan die niet door WSUS/SCCM worden beheerd, dan zal de computer die op een gegeven moment installeren, ook al ben je niet ingelogd", waarschuwt de onderzoeker.

Reacties (7)
30-11-2016, 11:59 door karma4
Als al je gebruikers per definitie onbetrouwbaar zijn dan zeg je dat alle medewerkers in een bedrijf onbetrouwbaar zijn en continue 24*7 gemonitored moeten worden. Dat is inclusief ICT en CSO en boardroom. Hoe zit dat met bofh's.
Werbaar? Nou nee Kafka en newspeak vanuit security perspectief. Goede controle is prima maar je kunt overdrijven.
30-11-2016, 12:08 door [Account Verwijderd]
[Verwijderd]
30-11-2016, 13:19 door Anoniem
Door karma4: Als al je gebruikers per definitie onbetrouwbaar zijn dan zeg je dat alle medewerkers in een bedrijf onbetrouwbaar zijn en continue 24*7 gemonitored moeten worden. Dat is inclusief ICT en CSO en boardroom. Hoe zit dat met bofh's.
Werbaar? Nou nee Kafka en newspeak vanuit security perspectief. Goede controle is prima maar je kunt overdrijven.

Say hello to my SIEM...

Nou nog de SOC operators :(

gr
Eminus
30-11-2016, 17:28 door karma4
Door Rinjani: ....
Vergelijk het maar met het hebben van vuurwapens bij politie en leger. Je wilt toch niet dat de gewone burger zomaar met een vuurwapen kan gaan rondlopen.
Doe ik even aan mee. Ook in Nederland kan elke burger gewoon een vuurwapen hebben. Mits lid van een goed georganiseerde militie. Dat heet burgerwacht (nachtwacht) ofwel schutterij. Dan heb je nog jagers en jachtopzieners dat zijn ook burgers.
Andere wapens zoals messen schroendraaiers en specifiek gereedschap zij n ook wijd verspreid. Het kafkiaanse zou zijn elke mes en gereedschap apart bewaken met continue toezicht. De keukens in restaurants zullen als bijeffect schoner worden. Praktisch haalbaar zal het niet zijn. Waarom zoiets overeenkomstig met ict wel praktisch haalbaar zou moeten zijn is de werkelijke vraag.
30-11-2016, 17:41 door [Account Verwijderd]
[Verwijderd]
30-11-2016, 23:02 door Anoniem
Naar mijn mening is Bitlocker in 1 klap afgeschreven. Het is weer typisch Microsoft om met een halve oplossing te komen. Nu weten we het zeker.. je data is nooit veilig met bitlocker. Op een ander forum menen sommige dat wanneer je een pincode gebruikt icm TPM het wel veilig is maar met Microsoft's halve implementaties kun je er niet op vertrouwen, what's next? Deze "hack" schijnt al te bestaan sinds windows 7.
01-12-2016, 17:00 door Anoniem
Door Anoniem: Naar mijn mening is Bitlocker in 1 klap afgeschreven. Het is weer typisch Microsoft om met een halve oplossing te komen.
Is je data überhaupt veilig bij microsoft? Bedenk alleen maar wat er 'naar huis' gestuurd wordt. Men noemt het 'telemetrie'. Maar in het verleden ook al crash dumps. Weet jij wat daar in zit?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search