Saldırganların çalınan dizüstü bilgisayarlardan yararlanabileceği, PIN koruması olmayan BitLocker anahtarları, araştırmacılar artık SİSTEM düzeyinde erişim isteyen içeriden gelen tehditleri hedef alarak PIN korumalı kurulumları araştırıyor.
Bu teknik, SPI veri yolu analizi yoluyla TPM iletişimlerinin ele geçirilmesini içerir ve PIN ile güçlendirilmiş BitLocker’ın bile bilinen kimlik bilgileriyle fiziksel incelemeye nasıl olanak sağladığını ortaya çıkarır.
Gerçek bir geçiş gerçekleşmese de bu yöntem, sürücülerin kilidini verimli bir şekilde açarak kurumsal şifrelemedeki kalıcı donanım güvenlik açıklarını vurguluyor.
PIN Korumalı BitLocker Mekaniğini Çözme
Önyükleme sırasında anahtarların mührünü otomatik olarak açan yalnızca TPM yapılandırmalarının aksine, PIN korumalı BitLocker ek korumalar sağlar.
Tam Birim Şifreleme Anahtarı (FVEK), Birim Ana Anahtarı (VMK) tarafından şifrelenmiş olarak diskte kalır, ancak VMK, bir Ara Anahtar (IK) tarafından korunan disk depolamaya geçer.
Bu IK, kullanıcının PIN’inden türetilen bir Uzatılmış Anahtar (SK) kullanılarak TPM ile şifrelenir ve ikili kimlik doğrulama sağlar: IK’nin mührünün açılması ve şifre çözme anahtarlarının türetilmesi.
Bu tasarım, çevrimiçi ortamda TPM kilitlemeleri aracılığıyla, çevrimdışı olarak ise rastgele ara öğeler aracılığıyla kaba kuvvet saldırılarını engeller ancak güvenli donanım izolasyonunu varsayar.
Guillaume Quéré’nin HP ProBook 440 G1 üzerinde yaptığı deneyler, SPI üzerinden iletişim kuran ayrı bir Nuvoton NPCT760HABYX TPM’nin, yakındaki MX25U bellek yongası test noktaları aracılığıyla kolayca erişilen paylaşılan bir veri yolunu ortaya çıkardı.
Lehimlemeye gerek yok; modern analizörler için isteğe bağlı CS ile yalnızca saat, MOSI ve MISO hatları için pinler. Sinyal yakalama, DSLogic Plus analizörü kullanılarak PIN girişi öncesi başladı, ancak tuhaflıklar ortaya çıktı: saat orta voltajlarda yüksek rölantide çalışıyordu ve okumaları bozuyordu.
Basit bir 4,7kΩ açılan direnç onu topraklayarak 33MHz SPI veriyolunu stabilize etti. Ancak TIS protokolü anormallikleri, muhtemelen yavaş onaylardan ve otomatik kod çözücüleri felce uğratmasından dolayı paket başına çift bayt düzeyinde kalmaya devam etti.
Manuel kod çözmenin gerekli olduğu kanıtlandı. Ham MOSI/MISO verilerini regex’lerden arındırılmış TIS sarmalayıcılarla filtreleme (örneğin, ana istekler için “00 D4 00 18 XX”), “80 01” (düz) veya “80 02” (kimliği doğrulanmış) gibi başlıklar aracılığıyla TPM2.0 komutlarını izole etme.
Yakalamalar, PIN isteminden başlayarak anahtar alışverişleriyle daraltıldı: TPM anahtarları için ReadPublic, nesneler için Load, tek seferlik öğeler için GetRandom, StartAuthSession, politikalar için PolicyAuthValue/PCR ve en önemlisi IK blobu için Unseal.
İlginçtir ki PIN’ler hiçbir zaman TPM’ye iletilmez; yalnızca iyi/kötü PIN denemelerinde doğrulanan belgelenmemiş bir nüans olan Unseal HMAC’yi etkilerler.
Unseal yanıtı, PIN’den türetilen SK nedeniyle PIN olmayan bloblardan farklı olarak şifrelenmiş IK’yi tutar. SK’nın türetilmesi, UTF-16LE PIN karma işlemini, iki katına çıkan SHA-256’yı ve ardından disk tuzu hesaplama yoğun ancak mümkün olan 1.048.576 turu içerir.
SK ile AES-CCM şifre çözme, dislocker gibi araçlar aracılığıyla VMK’nın disk meta verilerinden kilidini açan IK’yi sağlar.
ProBook için Python kodu, “67851922” PIN’ini “c36496f98842c6fd9841de2ea743d5cf” tuzuna karşı genişleterek 44 baytlık IK yükünün şifresini çözdü.
Dislocker daha sonra birim okuma-yazma birimini monte ederek Shift+5 ayrıcalık yükseltmesi için sethc.exe’nin üzerine cmd.exe ile yazılması gibi arka kapıları etkinleştirdi.
SPITkey.py veya tpm_sniffing_pin.py gibi otomatik komut dosyaları, birimleri doğrudan ayrıştırarak veya kilit çözücü çıktılarından yararlanarak bunu kolaylaştırır.
Bu saldırı, ayrık TPM’lerin sahte güvenliğinin altını çiziyor; fTPM veya PIN artı başlangıç anahtarları koklamayı azaltır, ancak içeriden öğrenenler risk taşımaya devam eder. Kuruluşların varsayılanların ötesindeki yapılandırmaları denetlemesi gerekir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
