Hace unos días
, se
publicó un artículo en Habré sobre un estudio realizado por científicos de la Universidad de Radbode, que encontraron una vulnerabilidad en el sistema de cifrado de datos con algunos modelos SSD con protección de hardware. Entonces, utilizando métodos especiales, puede acceder a datos protegidos, y no es necesario conocer la contraseña en absoluto.
Para Windows, el problema resultó ser el más urgente, ya que el sistema de cifrado integrado de Windows Bitlocker se deshabilita si el sistema operativo determina que el SSD tiene protección de hardware. De hecho, los usuarios que trabajan con SSD rucial y Samsung y no han actualizado el firmware de sus unidades, mantienen sus datos abiertos a los atacantes. El otro día, Microsoft publicó información sobre métodos de protección de datos en SSD con protección de hardware en un entorno Windows.
La compañía
publicó un artículo que indica que los sistemas 1394 y Thunderbolt tienen activada la función de Acceso directo a memoria (DMA). Debe apagarse por separado, por defecto está encendido. Si un dispositivo protegido por BlitLocker está desbloqueado, la clave de cifrado se almacena en la memoria de la computadora. Si lo desea, los atacantes pueden conectar un dispositivo especialmente diseñado 1394 o Thubderbolt a la PC vulnerable para buscar y robar la clave de cifrado.
Microsoft describe varias formas de protección contra este tipo de ataque. Por ejemplo, use la función Kernel DMA Protection, disponible en Windows 10 1803. Para los usuarios que no tienen esta función disponible, Microsoft ofrece otros métodos: "Para Windows 10 1803 y posteriores, si el sistema admite la función Kernel DMA Protection, recomendamos usar esto una oportunidad para reducir la probabilidad de un ataque exitoso con Thunderbolt DMA ".
Esta función bloquea los dispositivos Thunderbolt 3 conectados y no les da acceso a la función Acceso directo a memoria hasta que se haya completado un conjunto específico de procedimientos.
Cuando un dispositivo Thunderbolt 3 está conectado a un sistema con la función Kernel DMA Protection activada, Windows verificará que las unidades del sistema admitan la reasignación de DMA. Esta es una función que permite que una sección específica de la memoria aislada funcione con el dispositivo utilizado para trabajar con el sistema operativo. Esto le permite evitar la intrusión de dispositivos DMA en cualquier otra área de memoria, excepto en lo acordado previamente.
Si el dispositivo admite el aislamiento de la memoria, Windows inmediatamente le indicará al dispositivo que inicie DMA en áreas aisladas de la memoria. Para los dispositivos cuyos controladores no admiten aislamiento de memoria, el acceso se cerrará hasta que el usuario inicie sesión o desbloquee la pantalla.
Para aquellos dispositivos que no son compatibles con la reasignación de DMA, el acceso al sistema se cerrará hasta que el usuario inicie sesión o desbloquee la pantalla. Una vez hecho esto, Windows lanzará un controlador especializado y permitirá que el dispositivo active la función de acceso DMA.
Kernel DMA Protection todavía está disponible para Windows 10 Build 1803, sin embargo, se necesita un nuevo firmware para UEFI. Los usuarios de Windows pueden aprender sobre este método de protección aquí. Si su computadora no es compatible con Kernel DMA Protection, o si la última versión de Windows no está instalada en ella, Microsoft recomienda que desactive el controlador SBP-2 1394 y que desactive los controladores Thunderbolt en Windows
Vale la pena entender que si no trabaja con dispositivos Thunderbolt o 1394, deshabilitar los controladores no tendrá exactamente ningún efecto. Por otro lado, aquellos usuarios que tienen los tipos de dispositivos mencionados anteriormente pueden, siguiendo el consejo de la compañía, bloquear la posibilidad de tal ataque.
Microsoft también afirma que si el hardware no cumple con la
Guía de ingeniería de Windows , lo más probable es que desactive las funciones DMA y 1943 de Thunderolt. Esto significa que los sistemas pirateados comienzan a funcionar inmediatamente cuando se conectan a una PC.
“Si su hardware difiere de las recomendaciones de la Guía de ingeniería de Windows, después de encender la PC, Windows puede activar DMA en dicho dispositivo. Y esto hace que el sistema sea vulnerable al compromiso ”, dijo Microsoft en un comunicado. Para deshabilitar los controladores correspondientes, se requieren ID de dispositivo exactos (este es un sistema Plug and Play).