En säkerhetsforskare har upptäckt en ny fråga i Microsoft Windows-10-operativsystem som gör det möjligt för angripare att få åtkomst till BitLocker-krypterade data.
Ett inlägg på Win-Fu blogg belyser metod. I grund och botten, vad metoden gör är att utnyttja en felsökning funktion som är aktiverad under uppgraderingen.
Det är en liten men GALET fel i det sätt på “Funktionen Uppdatera” (tidigare känd som “Upgrade”) är installerad. Installation av ett nytt bygge är gjort av reimaging maskinen och bild installeras av en liten version av Windows som heter Windows PE (Preinstallation Environment).
Detta har en funktion för felsökning som gör att du kan tryck på SKIFT+F10 för att få en kommandotolk. Detta tyvärr tillåter att för att få tillgång till hårddisken som under uppgraderingen Microsoft inaktiverar BitLocker.
Om du trycker på Shift-F10, öppnar du ett kommandofönster som ger dig tillgång till anordningar för lagring av operativsystemet.
Eftersom BitLocker-skyddet är inaktiverat under uppgraderingar, det innebär att vem som helst utnyttja den frågan får åtkomst till alla filer som vanligtvis är krypterad med BitLocker.
BitLocker bypass på Windows-10 genom uppgraderingar
Metoden fungerar för närvarande vid uppdatering av den ursprungliga Windows-10 release bygga till November uppdatera version 1511 eller Årsdagen uppdatera version 1607. Dessutom fungerar det på alla nya Insider Bygga som Microsoft ger ut, åtminstone för tillfället.
Den viktigaste frågan, som framgår av Samiska Laiho, forskaren som lämnas ut frågan, är att vem som helst med lokal tillgång till maskinen kan utnyttja den frågan. Administrativ åtkomst krävs inte, och så är inte speciell programvara, inställningar eller hårdvara på Windows-enheten.
Eftersom detta är en lokal fråga, det är klart att frågan inte kommer att utnyttjas i det vilda. Vem som helst med lokal tillgång till en Windows-maskin å andra sidan kan utnyttja den frågan. Om det är en användare, Windows-10 kan vara konfigurerad för att acceptera Windows Insider uppdateringar om det inte hindras av en systemadministratör.
Företag bör därför inte tillåta byte av Fönster Insider bygger för datorer som kör Windows 10.
Detta görs på följande sätt:
- Tryck på Windows-tangenten, typ regedit.exe och tryck på Enter-tangenten.
- Navigera till följande Registernyckel: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsSelfHostUIVisibility
- Högerklicka på Synlighet och välj Nytt > Dword (32-bit) – Värde.
- Name it HideInsiderPage.
- Dubbelklicka på den nya preferenser och ställ in värdet till 1.
Du kan ångra ändras när som helst genom att ta bort nyckeln, eller genom att sätta den till 0.
Företag kan även välja att inte tillåta obevakad uppgraderingar (inte nödvändigtvis uppdateringar) på Windows-10 maskiner för att förhindra problem från att bli utnyttjade.
Avslutande Ord
Det avslöjas säkerhet frågan är problematisk för BitLocker-skyddade enheter som kör Windows-10. Den viktigaste frågan är naturligtvis avslöjande av skyddade filer under uppgraderingen processer.