BitLocker bypass na Windows 10 kroz nadogradnje

Istraživač sigurnosti otkrio je novi problem u Microsoftovom operativnom sustavu Windows 10 koji napadačima omogućuje pristup podacima šifriranim BitLocker-om.

Post na Win-Fu blogu ističe metodu. U osnovi, ono što metoda radi jest iskorištavanje značajke za rješavanje problema koja je omogućena tijekom postupka nadogradnje.

Postoji mala, ali CRAZY buga na način na koji je instalirano „Ažuriranje značajki“ (ranije poznato kao „Nadogradnja“). Instalacija nove građe vrši se preimenovanjem stroja i slike instalirane u maloj verziji sustava Windows pod nazivom Windows PE (predinstalacijsko okruženje).

Ovo ima značajku za rješavanje problema koja vam omogućuje da pritisnete SHIFT + F10 da biste dobili naredbeni redak. To nažalost omogućava pristup tvrdom disku jer tijekom nadogradnje Microsoft onemogućuje BitLocker.

Ako pritisnete Shift-F10, otvorit ćete prozor naredbenog retka koji vam omogućuje pristup uređajima za pohranu operativnog sustava.

Budući da je zaštita BitLockera onemogućena tijekom nadogradnje, to znači da svatko tko iskorištava problem ima pristup svim datotekama koje BitLocker obično šifrira.

BitLocker bypass na Windows 10 kroz nadogradnje

bitlocker bypass windows 10

Metoda trenutno djeluje prilikom ažuriranja izvorne verzije izdanja sustava Windows 10 na novembarsku nadogradnju verzije 1511 ili obljetničku verziju 1607. Nadalje, djeluje na bilo kojoj novoj Insider Build-u, barem za sada.

Glavni problem, kako je primijetio Sami Laiho, istraživač koji je to otkrio, jest taj da taj problem može iskoristiti svatko tko ima lokalni pristup mašini. Administrativni pristup nije potreban, pa tako ni posebni softver, postavke ili hardver na Windows uređaju.

Budući da se radi o lokalnom pitanju, jasno je da se pitanje neće koristiti u divljini. Svatko s lokalnim pristupom Windows računalu s druge strane može iskoristiti problem. Ako je korisnik, Windows 10 može biti konfiguriran za prihvaćanje ažuriranja sustava Windows Insider ako to ne spriječi administrator sustava.

Tvrtke bi stoga trebale onemogućiti uključivanje Windows Insider verzija za strojeve sa sustavom Windows 10.

To se radi na sljedeći način:

  1. Dodirnite tipku Windows, upišite regedit.exe i pritisnite tipku Enter.
  2. Dođite do sljedećeg registra ključa: HKEY_LOCAL_MACHINE SOFTWARE Microsoft WindowsSelfHost UI Visibilit i
  3. Desnom tipkom miša kliknite vidljivost i odaberite Novo> Dword (32-bitna) Vrijednost.
  4. Imenuj HideInsiderPage ,
  5. Dvaput kliknite novu prednost i postavite njezinu vrijednost na 1.

Promjenu možete poništiti u bilo kojem trenutku brisanjem ključa ili postavljanjem na 0.

Tvrtke će također možda htjeti onemogućiti neograničenu nadogradnju (ne nužno ažuriranja) na Windows 10 strojevima kako bi spriječili eksploataciju problema.

Završne riječi

Otkriveni problem sigurnosti problematičan je za uređaje zaštićene BitLocker-om koji pokreću Windows 10. Glavni problem ovdje je naravno otkrivanje zaštićenih datoteka tijekom procesa nadogradnje.