En sikkerheds-forsker har opdaget et nyt problem i Microsoft ‘ s Windows-10-operativsystemet, der gør det muligt for angribere at få adgang til BitLocker-krypterede data.
Et indlæg på Win-Fu blog fremhæver metode. Dybest set, hvad den metode gør, er at udnytte en fejlfinding funktion, der er aktiveret under opgraderingen.
Der er en lille, men CRAZY fejl i den måde, hvorpå “Opdatering til Funktionen” (tidligere kendt som “Upgrade”) er installeret. Installation af et nyt build gøres ved at reimaging maskinen, og det billede, der er installeret af en lille version af Windows, kaldet Windows PE (Preinstallation Environment).
Dette har en funktion, der til fejlfinding, der giver dig mulighed for at trykke på SHIFT+F10 for at få en kommandoprompt. Dette desværre giver mulighed for adgang til harddisken, som under opgraderingen deaktiverer Microsoft BitLocker.
Hvis du trykker på Shift-F10, kan du åbne et vindue med en kommandoprompt, som giver dig adgang til opbevaring af enheder af operativsystemet.
Da BitLocker-beskyttelse er deaktiveret under opgraderinger, og det betyder, at alle, som udnytter de spørgsmål, der får adgang til alle de filer, der er normalt krypteret af BitLocker.
BitLocker-bypass på Windows-10 via opgraderinger
Metoden virker i øjeblikket, når du opdaterer det oprindelige Windows-10 release build til November opdater version 1511 eller Jubilæum opdater version 1607. Desuden, det virker på alle nye Insider Bygge til, at Microsoft lægger ud, i det mindste for tiden.
Det vigtigste spørgsmål, som bemærket af Sami Laiho, den forsker, der afslørede problem, er, at alle med lokal adgang til maskinen kan udnytte problemet. Administrative access er ikke påkrævet, og det er ikke særlig software, indstillinger eller hardware på Windows-enheden.
Da dette er et lokalt spørgsmål, er det klart, at spørgsmålet ikke vil blive udnyttet i naturen. Alle med lokal adgang til en Windows-maskine på den anden side kan udnytte problemet. Hvis det er en bruger, Windows 10 kan være konfigureret til at acceptere Windows Insider opdateringer, hvis det ikke forhindres af en system administrator.
Virksomheder bør derfor afvise tænding af Windows Insider bygger for maskiner, der kører Windows 10.
Dette gøres på følgende måde:
- Tryk på Windows-tasten, type regedit.exe og tryk på Enter-tasten.
- Naviger til følgende nøgle i Registreringsdatabasen: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsSelfHostUIVisibility
- Højre-klik på Synlighed, og vælg New > Dword (32-bit) Værdi.
- Name it HideInsiderPage.
- Dobbelt-klik på den nye præference og sæt dens værdi til 1.
Du kan fortryde den til enhver tid ændres ved at slette den nede, eller ved at sætte den til 0.
Virksomheder kan også vælge at tillade uovervåget opgraderinger (ikke opdateringer nødvendigvis) på Windows 10 maskiner, der for at forebygge problemet fra at blive udnyttet.
Afsluttende Ord
Det oplyses sikkerhedsproblem er problematisk for BitLocker-beskyttede enheder, der kører Windows 10. Det vigtigste spørgsmål her er naturligvis at afsløre, om beskyttede filer under og efter opgraderingen processer.