YouTuber knackt die BitLocker-Verschlüsselung in weniger als einer Minute mit dem 5-Dollar-Raspberry Pi Pico

Die BitLocker-Verschlüsselung von Microsoft ist eine der am leichtesten verfügbaren Verschlüsselungslösungen, mit der Benutzer Daten sicher verschlüsseln und vor Bedrohungsakteuren schützen können. Es sieht jedoch so aus, als ob BitLocker nicht so sicher ist, wie die Leute vielleicht denken.

Anfang dieser Woche veröffentlichte der YouTuber stacksmashing ein Video, das zeigt, wie er die BitLocker-Daten abfangen und die Verschlüsselungsschlüssel stehlen konnte, um die auf dem System gespeicherten Daten zu entschlüsseln. Darüber hinaus erzielte er die Ergebnisse in 43 Sekunden mit einem Raspberry Pi Pico, der wahrscheinlich weniger als 10 US-Dollar kostet.

Um den Angriff auszuführen, nutzte er das Trusted Platform Module oder TPM. Bei den meisten Computern und Business-Laptops befindet sich TPM extern und verwendet den LPC-Bus zum Senden und Empfangen von Daten von der CPU. Microsofts BitLocker verlässt sich auf TPM, um wichtige Daten wie Plattformkonfigurationsregister und Volume-Hauptschlüssel zu speichern.

Beim Testen von Stacksmashing wurde festgestellt, dass der LPC-Bus mit der CPU über Kommunikationskanäle kommuniziert, die beim Hochfahren unverschlüsselt sind und abgegriffen werden können, um kritische Daten zu stehlen. Er führte den Angriff auf einen alten Lenovo-Laptop aus, der auf dem Motherboard neben dem M.2-SSD-Steckplatz einen unbenutzten LPC-Anschluss hatte. Stacksmashing schloss einen Raspberry Pi Pico an die Metallstifte des ungenutzten Anschlusses an, um die Verschlüsselungsschlüssel beim Hochfahren zu erfassen. Der Raspberry Pi war so eingestellt, dass er beim Hochfahren des Systems die binären Nullen und Einsen vom TPM erfasste, sodass er den Volume Master Key zusammensetzen konnte. Sobald er fertig war, nahm er das verschlüsselte Laufwerk heraus und entschlüsselte das Laufwerk mit dem Dislocker und dem Volume Master Key.

Microsoft weist zwar darauf hin, dass diese Angriffe möglich sind, sagt jedoch, dass dafür ausgefeilte Tools und ein langer physischer Zugriff auf das Gerät erforderlich sind. Wie das Video jedoch zeigt, kann jemand, der bereit ist, einen Angriff auszuführen, dies in weniger als einer Minute tun.

Allerdings gibt es dabei einige Vorbehalte, die beachtet werden müssen. Dieser Angriff kann nur mit externen TPM-Modulen funktionieren, bei denen die CPU Daten vom Modul auf dem Motherboard abrufen muss. Viele neue Laptops und Desktop-CPUs sind mittlerweile mit fTPM ausgestattet, bei dem die kritischen Daten in der CPU selbst gespeichert und verwaltet werden. Allerdings empfiehlt Microsoft die Einrichtung einer BitLocker-PIN, um diese Angriffe zu stoppen. Dies ist jedoch nicht einfach, da Sie eine Gruppenrichtlinie einrichten müssen, um eine PIN zu konfigurieren.