image

Onderzoekers halen BitLocker-decryptiesleutel binnen half uur uit TPM-chip

vrijdag 30 juli 2021, 14:21 door Redactie, 10 reacties

Onderzoekers hebben gedemonstreerd hoe ze bij een "gestolen" versleutelde laptop binnen dertig minuten de BitLocker-decryptiesleutel uit de TPM-chip kunnen halen om vervolgens het bedrijfsnetwerk van de betreffende organisatie te compromitteren.

De Trusted Platform Module is een standaard voor het beschermen van cryptografische processen binnen een computer en wordt gebruikt voor het veilig opslaan van encryptiesleutels, wachtwoorden, certificaten en andere gevoelige data. De meeste moderne laptops beschikken over een TPM-chip.

In het geval van de laptop die onderzoekers van de Dolos Group onderzochten werd er gebruikgemaakt van een bios-wachtwoord en was de harde schijf volledig versleuteld door middel van Bitlocker, waarbij de decryptiesleutel was opgeslagen in de TPM-chip. Belangrijk om hierbij te vermelden is dat er geen gebruik werd gemaakt van "TPM met PIN". In dit geval moet de gebruiker voordat Windows wordt gestart een pincode of wachtwoord invoeren. Zonder deze authenticatie is de data op de versleutelde schijf niet toegankelijk. Microsoft adviseert het instellen van een pincode voor het opstarten. Iets dat niet standaard het geval is.

De laptop van de onderzoekers liet echter meteen het Windows-inlogscherm zien, waardoor ze ervoor kozen om BitLocker aan te vallen. Door het verkeer over de SPI-bus uit te lezen lukte het de onderzoekers om de BitLocker-decryptiesleutel te achterhalen. Daarmee konden ze de harde schijf ontsleutelen. Op de schijf vonden ze vpn-software waarmee de gebruiker toegang tot het bedrijfsnetwerk kreeg.

Ze beschikten echter niet over het wachtwoord om via de vpn-client verbinding te maken. De gebruikte vpn-software beschikte over een feature genaamd Pre-logon. Hierbij wordt er een vpn-verbinding opgezet voordat de gebruiker inlogt. Hiervoor wordt er gebruikgemaakt van een certificaat op de betreffende laptop. Via deze "auto-connect" feature bleek het vervolgens mogelijk om toegang tot het bedrijfsnetwerk te krijgen.

Het uitlezen van de BitLocker-decryptiesleutel nam volgens de onderzoekers minder dan dertig minuten in beslag, vereiste geen solderen en was met relatief goedkope hardware en publiek beschikbare tools uit te voeren. Het betreft hier een demonstratie, maar de onderzoekers willen ermee laten zien hoe het mogelijk is om via een gestolen laptop op afstand een bedrijfsnetwerk te compromitteren.

Reacties (10)
30-07-2021, 15:05 door Anoniem
Maar wat is dat voor organisatie dan dat ze zo een brakke VPN hebben en dan niet dat certificaat intrekken als die
laptop gestolen is?
30-07-2021, 15:06 door Lizard - Bijgewerkt: 30-07-2021, 15:06
Klinkt een beetje als hetzelfde onderzoek als van vorig jaar? https://labs.f-secure.com/blog/sniff-there-leaks-my-bitlocker-key/
30-07-2021, 15:53 door Anoniem
Door Anoniem: Maar wat is dat voor organisatie dan dat ze zo een brakke VPN hebben en dan niet dat certificaat intrekken als die
laptop gestolen is?
Dit is een theoretisch verhaal, niet een echte aanval. Normaal gesproken zou een bedrijf inderdaad alle toegang van de gestolen laptop blokkeren.

Het uitlezen van de TPM op deze manier is niet nieuw, het is nu alleen zonder solderen gelukt. Dit is een bekend probleem, maar bij beveiliging van de systemen moet ook gekeken worden naar de aanvalsrisico's. Ik denk dat voor 9 van de 10 bedrijven dit risico nihil is: als een laptop wordt gejat, dan zal hij sneller worden gewiped en worden doorverkocht, dan dat hij op deze manier ontsleuteld wordt om bedrijfsgegevens te jatten. Ondanks dat er niet gesoldeerd hoeft te worden, en de hardware relatief goedkoop is, is dit toch echt veel te hoog gegrepen voor de meeste gelegenheidsdieven.
30-07-2021, 16:51 door Anoniem
De grote fout is hier natuurlijk dat de decryptiesleutel niet "plain" door de TPM-chip dient te worden verzonden,
want dan is deze sleutel door een specialist uiteraard te sniffen in het apparaat.

De decryptiesleutel zelf behoort dus op zijn beurt ook weer goed versleuteld door de TPM-chip te worden doorgegeven.
Ik denk aan dit soort devices:
https://www.microchip.com/en-us/product/ATECC608B (o.a. verkrijgbaar bij Reichelt)
en ondermeer in staat tot:
– Encryption/Authentication for messages to prevent on-board attacks

(voor wie al aardig goed weten waar ze over praten misschien leuk speelgoed om mee te experimenteren en van te leren?)
30-07-2021, 21:54 door Anoniem
Door Anoniem: De grote fout is hier natuurlijk dat de decryptiesleutel niet "plain" door de TPM-chip dient te worden verzonden,
want dan is deze sleutel door een specialist uiteraard te sniffen in het apparaat.
Ja ik heb me er niet in verdiept maar ik was in de veronderstelling dat de TPM zelf de en/decryptie zou doen zonder de key
ooit naar buiten te sturen. Zo hoort dat soort constructies te werken.
30-07-2021, 22:16 door Erik van Straten
Door Anoniem:
Door Anoniem: Maar wat is dat voor organisatie dan dat ze zo een brakke VPN hebben en dan niet dat certificaat intrekken als die
laptop gestolen is?
Dit is een theoretisch verhaal, niet een echte aanval. Normaal gesproken zou een bedrijf inderdaad alle toegang van de gestolen laptop blokkeren.
Tenzij de laptop uit jouw huis gestolen wordt, bijvoorbeeld op de tweede dag van jouw 3-weekse vakantie in Frankrijk.

Door Anoniem: Ik denk dat voor 9 van de 10 bedrijven dit risico nihil is: als een laptop wordt gejat, dan zal hij sneller worden gewiped en worden doorverkocht, dan dat hij op deze manier ontsleuteld wordt om bedrijfsgegevens te jatten. Ondanks dat er niet gesoldeerd hoeft te worden, en de hardware relatief goedkoop is, is dit toch echt veel te hoog gegrepen voor de meeste gelegenheidsdieven.
Als een bedrijf zo'n ethische hackersclub inschakelt om te proberen digitaal in te breken, gaat het waarschijnlijk niet om 9 van de 10 bedrijven, maar maakt de directie ervan zich -waarschijnlijk terecht- zorgen over doelgerichte aanvallen. Bovendien wordt er zoveel geld "verdiend" met het afpersen van bedrijven dat het mij zou verbazen als er niet steeds meer gelegenheidsdieven zijn die doorhebben dat een (met name versleutelde) notebook waardevoller kan zijn dan de kale hardware.

Overigens vind ik het een mooie aanval die ook nog eens netjes gedocumenteerd is (het overschijven van C:\Windows\System32\Utilman.exe met cmd.exe, en Win-U drukken bij de login-prompt, kende ik nog niet).

En precies zoals Anoniem van 16:51 hierboven schrijft, bizar dat de communicatie tussen TPM-chip en CPU onbeveiligd plaatsvindt; in elk geval voor deze toepassing is die chip waardeloos op deze manier.
30-07-2021, 23:53 door Briolet
De meeste moderne laptops beschikken over een TPM-chip.

Ik weet welk percentage je nodig hebt om over 'de meeste' te kunnen spreken, maar ik zie toch redelijk vaak laptops van Apple en die hebben de TPM chip al heel lang geleden vaarwel gezegd. Daar zit nu een T2 chip in die over veel meer functionaliteit en beveiliging beschikt.
31-07-2021, 14:58 door Anoniem
Door Anoniem: De grote fout is hier natuurlijk dat de decryptiesleutel niet "plain" door de TPM-chip dient te worden verzonden,
want dan is deze sleutel door een specialist uiteraard te sniffen in het apparaat.

De decryptiesleutel zelf behoort dus op zijn beurt ook weer goed versleuteld door de TPM-chip te worden doorgegeven.

Aan wat doorgegeven - en hoe krijg je een sleutel-relatie dan tussen de TPM chip en de controller chip ?

Het is een bekend - en gewoon erg lastig - probleem om fysiek veilig te zijn tegen een voldoende capabele aanvaller.
Uiteindelijk moet de plaintext sleutel voor bitlocker of iets vergelijkbaars eindigen in de CPU .

Telefoons - en zeker de iPhone - lossen dat op met secure enclaves binnen/naast de CPU maar in de package.
Vanuit security oogpunt is zo'n model - waarin allerlei componenten elkaar moeten authenticeren code heel diep in de CPU de secrets bevat het beste .
Vanuit open source / right to repair ed. oogpunt is zo'n model een ramp .

Ik weet niet wat voor Apple het doel, en wat de bijvangst is - maar hoge veiligheid en veel controle over service/add-ons zijn beiden in het voordeel van Apple.

Er is een mooi verhaal over de eerste X-Box, die ditzelfde probleem net niet goed genoeg oploste - en het uitgebreide werk van Andrew 'Bunnie' Huang om het bootproces te reverse-engineeren.
31-07-2021, 17:33 door Erik van Straten
Door Anoniem: Aan wat doorgegeven - en hoe krijg je een sleutel-relatie dan tussen de TPM chip en de controller chip ?
Middels een geauthenticeerde en versleutelde verbinding, vergelijkbaar met https/TLS?

Uit https://dolosgroup.io/blog/2021/7/9/from-stolen-laptop-to-inside-the-company-network:
At the time of this writing BitLocker does not utilize any encrypted communication features of the TPM 2.0 standard, which means any data coming out of the TPM is coming out in plaintext, including the decryption key for Windows.
01-08-2021, 08:26 door karma4
waarbij de decryptiesleutel was opgeslagen in de TPM-chip
Elk systeem waar het passwoord fysiek ergens opgeslagen is kwetsbaar. Of het nu een tpm in een computer smartphone een password manager is maakt weinig uit. Stop je het in code van een project dan is dst nog erger.

De eerste vraag hier zou moeten zijn wat de afcherming is bij het telkens door een gebruiken in te voeren pincode is.
De tweede vraag is welke gegevens komen op die laptop voor. Een endpoint hoort makkelijk vervangbaar te zijn, dat betekwnt dat het geen gegevens hoort te bevatten.
Dat is niet de denkwijze bij studie waar studenten en leraren alles op de laptop doen en niet de benadering bij het kleinbedrijf waar in het kader van snelle oplossingen enkel de laptop gezien wordt. De cloud is een optie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.