BitLocker in 43 Sekunden ausgehebelt

Stellen Sie sich vor, Sie haben ein sicheres Schloss an Ihrer Haustür - nur um herauszufinden, dass ein cleverer Dieb es mit einem 10-Dollar-Tool leicht aushebeln kann. So ähnlich muss es Besitzern von Windows-Rechnern gehen, die auf die bordeigene Verschlüsselung vertrauen. Denn der BitLocker von Microsoft wurde gehackt und das in der Rekordzeit von 43 Sekunden. Kürzlich hat ein YouTube-Kanal namens stacksmashing das Vorgehen dazu als Video veröffentlicht. Die Methode wird bereits als „BitLocker Sniffing“ bezeichnet und deckt eine Design-Schwachstelle im Verschlüsselungsprozess von Windows-Betriebssystemen auf. 

BitLocker-Sniffing nutzt eine Schwachstelle im BitLocker-Verschlüsselungstool aus, indem es während des Entschlüsselungsvorgangs Daten von dem sogenannten „Trusted Platform Module“ (TPM) abfängt. Diese Methode zielt auf ältere Rechner ab, bei denen das TPM nicht in die CPU integriert ist. Indem sie die Kommunikation zwischen dem TPM und dem Prozessor während des Starts abfangen, können Angreifer den Verschlüsselungsschlüssel mit kostengünstigen Tools und Firmware extrahieren.

Der Angriff auf BitLocker basiert darauf, dass das Tool kein Passwort oder keine andere sekundäre Authentifizierungsmethode neben dem TPM verwendet. Im Fall, der im Video präsentiert wurde, startet der PC automatisch, wobei nur das TPM Zugriff auf den Datenträgerverschlüsselungsschlüssel (auch als Volume Master Key - VMK bekannt) bietet. Beim Einschalten des Geräts verwendet BitLocker automatisch das TPM, um den VMK zu entschlüsseln, und startet fast sofort zur Windows-Anmeldung. Daher ist der VMK während des Systemstarts offen auf dem Bus verfügbar.

Einfach ausgedrückt: Die Kommunikation zwischen dem TPM und dem Prozessor des Computers ist beim Starten freigelegt. Der Verschlüsselungsschlüssel kann von jemandem ausgelesen werden, der das Signal zwischen dem TPM und der CPU abfängt.  

Dies erinnert stark an die bekannten Man-in-the-Middle-Angriffe. Dabei versucht ein Hacker, eine Internetverbindung/Bluetooth/RFID-Signal herzustellen, während sie sich mit etwas verbindet. Dies geschieht, weil der Datenstrom beim Senden an einen Empfänger freigelegt werden kann. Es sei denn, es gibt eine zusätzliche Sicherheitsmaßnahme, wie die Verwendung eines VPNs bei einer Verbindung mit öffentlichem WLAN, um eine geschützte versteckte Verbindung sicherzustellen. Grundsätzlich ist es erforderlich, eine weitere Sicherheitsebene hinzuzufügen, um den Datentransfer zu maskieren.

Ist Verschlüsselung nicht genug?

Diese neue Forschungsarbeit ist sehr interessant, insbesondere da die Verwendung eines TPM-Sicherheitsmoduls oder -Chips jetzt eine Anforderung des Windows 11-Betriebssystems ist. Dies ist einer der Gründe, warum viele ältere Prozessoren das aktuelle Betriebssystem nicht installieren können.

Die Frage ist nicht, ob Verschlüsselung genug Anreiz für jemanden ist, die neuesten Betriebssystemfunktionen haben zu wollen, sondern die Tatsache, dass es bisher immer ein Signal für zusätzliche Sicherheit war. Mit BitLocker-Schnüffelei scheint es jedoch, dass Verschlüsselung nur eine weitere überflüssige Sicherheitsfunktion sein könnte ... oder ist es das?

Ehrlich gesagt ist Verschlüsselung eine notwendige - nein, eine zwingende - Sicherheitsmaßnahme für jeden Benutzer. Nur so kann er sicherstellen, dass seine Daten sicher und geschützt bleiben. Darüber hinaus erschwert es als zusätzliche Sicherheitsebene die Aktivitäten von Cyberkriminellen, da es deren potenzielle Einbruchszeit verzögert und Sicherheitskräften mehr Zeit gibt, zu reagieren.

Jede Unternehmenssicherheitsstrategie muss Verschlüsselung umfassen, da dies auch für die Einhaltung gesetzlicher Vorschriften und Cyberversicherungen erforderlich ist. Dies wird auch in der NIS2-Richtlinie der Europäischen Union gefordert.

Die Verschlüsselung bleibt zwar eine wichtige Sicherheitsmaßnahme, aber die jüngsten Entdeckungen wie BitLocker-Sniffing zeigen, wie wichtig es ist, die Sicherheitsabwehr auf mehrere Ebenen zu verteilen. Die Implementierung mehrerer Sicherheitsebenen, wie z. B. starke Passwörter und zusätzliche Authentifizierungsmethoden, kann den Datenschutz erheblich verbessern. Lösungen wie ESET PROTECT bieten fortschrittliche Technologien und Verschlüsselungsfunktionen.

Passwörter spielen eine wichtige Rolle bei der Sicherung verschlüsselter Daten. Verschlüsselungstools wie ESET Full Disk Encryption (EFDE) und ESET Endpoint Encryption (EEE) erfordern die Eingabe eines Codes während des Systemstarts und bieten damit einen wichtigen Schutz vor Angriffen wie dem oben beschriebenen BitLocker Sniffing. Die Kombination von Benutzerpasswörtern mit TPM-Verschlüsselung stellt sicher, dass sensible Daten auch angesichts ausgefeilter Bedrohungen sicher bleiben.

Im normalen Betrieb mit EFDE und EEE muss der Benutzer beim Booten seines Computers sein Passwort eingeben. Im Wesentlichen wird dieses zusammen mit anderen Daten und der TPM-Verschlüsselung verwendet, um den VMK zu entschlüsseln. Ohne das Passwort des Benutzers kann der richtige VMK nicht erhalten werden. Ja, irgendwann wird die von TPM entschlüsselte Daten im Klartext verfügbar sein; jedoch kann dies nicht ohne Kenntnis des Benutzerpassworts geschehen.

Starke Verschlüsselung, sichere Systeme

Am Ende muss die Cybersicherheit sich immer weiterentwickeln, genauso wie es neue Bedrohungen erfordern. Manchmal können jedoch einfache Sicherheitsmaßnahmen einen großen Einfluss haben.

Passwörter waren schon immer die erste Verteidigungslinie gegen externe Kompromittierungen (da der Zugriff auf ein einziges Konto eine Kettenreaktion auslösen kann), und das wird wahrscheinlich auch in Zukunft so bleiben.