En sikkerhet forsker oppdaget et nytt problem i Microsoft ‘ s Windows-10-operativsystemet som gjør at angriperne er i stand til å få tilgang til BitLocker kryptert data.
Et innlegg på Win-Fu blogg høydepunkter metoden. I utgangspunktet, hva metoden gjør er å utnytte en feilsøking funksjon som er aktivert under oppgraderingsprosessen.
Det er en liten, men SPRØ feil i vei “- Funksjonen Oppdater” (tidligere kjent som “Oppgradere”) er installert. Installasjon av en ny versjon er gjort av reimaging maskinen og bildet er installert av en lite versjon av Windows som heter Windows PE (Preinstallation Environment).
Dette har en funksjon for feilsøking som tillater deg å trykke på SHIFT+F10 for å få en Ledetekst. Dette dessverre gir mulighet for tilgang til harddisk som under oppgraderingen Microsoft deaktivere BitLocker.
Hvis du trykker Shift-F10, kan du åpne en ledetekst-vindu som lar deg få tilgang til lagring enheter av operativsystemet.
Siden BitLocker-beskyttelse er deaktivert under oppgraderinger, det betyr at hvem som helst å utnytte problemet får tilgang til alle filene som er vanligvis kryptert av BitLocker.
BitLocker bypass på Windows-10 gjennom oppgraderinger
Metoden fungerer for øyeblikket når du oppdaterer den opprinnelige Windows-10 utgivelsen bygge til November update versjon 1511 eller Jubileum oppdateringen versjon 1607. Videre, det fungerer på alle nye Insider Bygger på at Microsoft legger ut, i hvert fall for tiden.
Den viktigste saken, som bemerket av Samisk Laiho, forsker som avslørte saken, er at alle som har lokal tilgang til maskinen kan utnytte problemet. Administrativ tilgang er ikke nødvendig, og det er ikke spesielle programvare, innstillinger eller maskinvare på Windows enheten.
Siden dette er et lokalt problem, det er klart at problemet ikke vil bli brukt i felten. Noen med lokal tilgang til en Windows-maskin på den andre siden kan utnytte problemet. Hvis det er en bruker, Windows-10 kan bli konfigurert til å godta Windows Insider oppdateringer hvis ikke hindret av en systemadministrator.
Selskaper bør derfor ikke tillate bytte av Windows Insider bygger for maskiner som kjører Windows 10.
Dette er gjort på følgende måte:
- Trykk på Windows-tasten, type regedit.exe og trykk på Enter-tasten.
- Finn følgende registernøkkel: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsSelfHostUIVisibility
- Høyre-klikk på Sikt, og velg Ny – > Dword (32-bit) – Verdi.
- Name it HideInsiderPage.
- Dobbel-klikk på den nye preferanser og sette verdien til 1.
Du kan angre endres når som helst ved å slette tasten, eller ved å sette den til 0.
Selskapene kan også ønsker å forby uten tilsyn oppgraderinger (ikke oppdateringer nødvendigvis) på Windows-10 maskiner for å hindre dette problemet fra å bli utnyttet.
Avsluttende Ord
Det offentliggjort sikkerhetsproblem er problematisk for BitLocker-beskyttede enheter som kjører Windows 10. Det største problemet her er selvfølgelig avslørende av beskyttede filer under oppgradering prosesser.