Um pesquisador publicou uma maneira nova e relativamente simples em que as chaves de criptografia do Windows BitLocker podem ser detectadas em configurações menos seguras conforme elas naveguem de Trusted Platform Modules (TPMs) durante a inicialização.

O BitLocker é o sistema de criptografia de volume completo fornecido com versões mais avançadas do Windows desde o Vista, que no caso do Windows 10 exige execução ou atualização para as versões Pro, Enterprise e Education em um computador com um chip TPM 1.2 ou 2.0.

Inevitavelmente, a plataforma de criptografia do Windows tornou-a um alvo para pesquisadores que procuram por pontos fracos em algo que muitas pessoas usam, e o método publicado por Denis Andzakovic da Pulse Security na semana passada é apenas o exemplo mais recente.

“A idéia por trás disso é que, se o laptop for roubado e o invasor não souber sua senha de login, ele não poderá puxar a unidade e ler o conteúdo”.

Nenhum login, nenhum acesso à unidade criptografada do computador. Simplesmente remover a unidade e colocá-la em outro computador não funcionará porque a chave de criptografia está protegida no TPM da máquina antiga.

No entanto, há uma linha de ataque – inicialize o computador de destino e descubra como descobrir a chave de criptografia (ou Chave mestra de volume) à medida que ela passa do TPM o Low Pin Count (LPC) é chamado.

A Microsoft comunicou os usuários do BitLocker sobre o risco de usar a tecnologia sem segurança adicional, como um PIN:

Essa opção é mais conveniente para acessar, mas menos segura que as outras opções, exigindo um fator de autenticação adicional.

A inovação do último ataque é o fato de que o BitLocker não foi capaz de recuperar as chaves com a configuração básica, juntamente com a simplicidade com que isso foi alcançado.

O ataque de Andzakovic envolveu a ligação de um Infineon TPM 2.0 de um Microsoft Surface Pro 3 a um drive através de um Field-Programmable Gate Array (FPGA) de US $ 30. Para simplificar um pouco, depois de usar uma ferramenta de busca, ele conseguiu descobrir a VMK (Volume Master Key) do barramento LPC executando uma inicialização.

Para demonstrar que isso não aconteceu, ele repetiu a técnica contra um chip TPM 1.2 antigo de um laptop HP.

O que fazer?

Como Andzakovic reconhece, a defesa mais simples é seguir o conselho da Microsoft e não usar o BitLocker com TPMs neste estado padrão onde a segurança é importante.

Uma alternativa mais segura é configurar uma unidade flash USB contendo uma chave de inicialização, configurar o acesso ao PIN ou, idealmente, adicionar a autenticação multifator usando os dois ao mesmo tempo.

O BitLocker tornou-se um teste definitivo de hacking para alguns pesquisadores, e é por isso que eles continuarão escolhendo. Os pontos fracos conhecidos incluíram possíveis desvios envolvendo o design de unidades de estado sólido (SSDs), bem como durante reinicialização de updates.