BitLocker, штатная система шифрования Windows, подвержена атаке, позволяющей извлечь ключи шифрования без разборки компьютера. Уязвимость основана на использовании старого загрузчика Windows, в котором не удаляется из оперативной памяти Volume Master Key при перезагрузке в режиме PXE Soft Reboot. Эта ошибка, известная как bitpixie (CVE-2023-21563), существует с 2005 года, а исправление было выпущено в феврале 2023.
Атака заключается в загрузке уязвимого загрузчика по сети, что позволяет получить доступ к ключу в оперативной памяти. Secure Boot, предназначенный для защиты от несанкционированной загрузки, не блокирует старый загрузчик, так как считает его доверенным. Для получения доступа к памяти при загрузке с Linux используется старое ядро (5.14) в комбинации с уязвимостью CVE-2024-1086. После извлечения ключа возможно смонтировать зашифрованный раздел.
Для проведения атаки требуется физический доступ к компьютеру и подключение к сети для PXE загрузки. Даже при отключении сетевой загрузки в UEFI, атака может быть проведена другими способами, например, с помощью внешнего сетевого адаптера. Уязвимость присутствует и в последних версиях Windows 11.
Для защиты рекомендуется установить пароль на шифрование диска или применить патч KB5025885 от Microsoft, который предотвращает использование старого загрузчика. Проблема с Secure Boot также может быть решена в будущем, но в настоящее время, шифрование BitLocker, даже с имеющимися уязвимостями, остается более безопасным вариантом, чем полное его отсутствие.
Изображение носит иллюстративный характер
Атака заключается в загрузке уязвимого загрузчика по сети, что позволяет получить доступ к ключу в оперативной памяти. Secure Boot, предназначенный для защиты от несанкционированной загрузки, не блокирует старый загрузчик, так как считает его доверенным. Для получения доступа к памяти при загрузке с Linux используется старое ядро (5.14) в комбинации с уязвимостью CVE-2024-1086. После извлечения ключа возможно смонтировать зашифрованный раздел.
Для проведения атаки требуется физический доступ к компьютеру и подключение к сети для PXE загрузки. Даже при отключении сетевой загрузки в UEFI, атака может быть проведена другими способами, например, с помощью внешнего сетевого адаптера. Уязвимость присутствует и в последних версиях Windows 11.
Для защиты рекомендуется установить пароль на шифрование диска или применить патч KB5025885 от Microsoft, который предотвращает использование старого загрузчика. Проблема с Secure Boot также может быть решена в будущем, но в настоящее время, шифрование BitLocker, даже с имеющимися уязвимостями, остается более безопасным вариантом, чем полное его отсутствие.
