Microsoft’un Bitlocker tam disk şifrelemesinde kritik bir güvenlik açığı, “Bitpixie” (CVE-2023-21563) adlı yalnızca yazılım saldırısı kullanılarak beş dakikadan kısa bir sürede atlanabileceğini gösteriyor.
Halka açık bir kavram kanıtı (POC) istismarı yayınlandı ve önyükleme öncesi kimlik doğrulaması olmadan Bitlocker’a dayanan milyonlarca pencere cihazının riskinin şiddetini vurguladı.
Bitpixie saldırısı nasıl çalışır
Fiziksel kurcalama, lehimleme veya özel ekipman gerektiren geleneksel donanım tabanlı saldırıların aksine, BitPixie güvenlik açığı, saldırganların Bitlocker’ın Volume Master tuşunu (VMK) tamamen yazılım yoluyla çıkarmasını sağlar.
.png
)
Bu invaziv olmayan yöntem, kalıcı bir iz bırakmaz ve tam bir disk görüntüsü gerektirmez, bu da çalınan veya katılımsız dizüstü bilgisayarları hedefleyen kırmızı ekipler ve rakipler için özellikle çekici hale getirir.
Güvenlik açığı, Windows Bootloader’ın PXE Yumuşak Yeniden Başlatma işlemini kullanma işlemindeki bir kusurdan kaynaklanır. Bir önyükleme başarısız olduğunda ve sistem bir ağ kurtarma girişiminde bulunduğunda, önyükleyici VMK’yı bellekten temizleyemez. Bu gözetimden yararlanarak, saldırganlar VMK’ya erişebilir ve korunan diski çözebilir.
İki saldırı yolu: Linux ve Windows PE Editions
Araştırmacılar iki ana sömürü stratejisi gösterdiler:
Linux tabanlı saldırı (Bitpixie Linux Edition):
- Windows Recovery Ortamını Shift+Reboot.pxe üzerinden Windows Boot Manager’ın savunmasız bir sürümüne girin.
- Bir PXE yumuşak yeniden başlatmayı tetiklemek için önyükleme yapılandırma verilerini (BCD) manipüle edin.
- İmzalı bir Linux Shim, Grub ve Linux çekirdeği zincirle.
- VMK için fiziksel belleği taramak için bir çekirdek modülü kullanın.
- Şifrelenmiş hacmi, dislocker sigorta sürücüsünü kullanarak çıkarılan VMK ile monte edin.
- Bu yöntem, aygıtın önyükleme öncesi kimlik doğrulaması gerektirmediği sürece (PIN veya USB tuşu gibi) çalışır.
Windows PE tabanlı saldırı (Bitpixie Winpe Edition):
Üçüncü taraf imzalı bileşenleri (örn. Güvenli çekirdekli PC’ler) engelleyen sistemler için, saldırganlar yalnızca Microsoft imzalı bileşenleri kullanabilir.PXE, değiştirilmiş bir BCD ile tekrar Windows Boot Manager’a önyükleme.
- Winload.efi, ntoskrnl.exe ve diğer imzalı Microsoft bileşenlerini içeren bir winpe görüntüsü yükleyin.
- VMK için belleği taramak için WinPMem’in özelleştirilmiş bir sürümünü kullanın.
- Bitlocker meta verilerinden kurtarma şifresini çıkarın ve ses seviyesinin kilidini açın.
Bu yaklaşım, Microsoft Windows Production PCA 2011 sertifikasına güvenen herhangi bir cihaz için geçerlidir.
Araştırmacılar tarafından yayınlanan kamu POC, bu saldırı zincirlerini otomatikleştirerek beş dakikadan daha kısa bir sürede hızlı uzlaşmaya izin veriyor. Saldırının hızı ve invaziv olmayan doğası, özellikle ek kimlik doğrulaması olmadan TPM tabanlı Bitlocker tarafından korunan kayıp veya çalınan dizüstü bilgisayarları içeren senaryolarda önemli bir risk haline getirir.
Bitpixie ve benzer saldırılara karşı birincil azaltma, sistem botlarından önce bir pim, USB anahtarı veya anahtar dosyası gerektiren önyükleme öncesi kimlik doğrulamasını uygulamaktır. Bu ek katman, önyükleme işlemini değiştirebilseler bile saldırganların VMK’ya erişmesini önler.
Araştırmacılar, “Bitpixie güvenlik açığı-ve daha genel olarak hem donanım hem de yazılım tabanlı saldırılar-önyükleme öncesi kimlik doğrulamasını zorlayarak hafifletilebilir” diyor.
Yalnızca TPM tabanlı Bitlocker korumasına dayanan kuruluşların, güvenlik duruşlarını derhal gözden geçirmeleri ve hassas verileri korumak için önyükleme öncesi kimlik doğrulamasını dağıtmaları istenir.
Bitpixie güvenlik açığı, Bitlocker şifrelemesine karşı yüksek riskli bir saldırı yolu ortaya çıkarır ve şu anda çalışan bir kavram kanıtı mevcuttur. Bu gelişme, güçlü kimlik doğrulama önlemlerine olan ihtiyacı vurgular ve disk şifrelemesi için varsayılan yapılandırmalara güvenmenin tehlikelerini vurgular.
Güvenlik Açığı Saldırısı Simülasyonu Hackerlar Giriş Noktaları İçin Web Sitelerini Nasıl Hızlı Araştırdılar – Ücretsiz Web Semineri