Il y a quelques jours
, un article a été
publié sur Habré à propos d'une étude menée par des scientifiques de l'Université de Radboard qui a trouvé une vulnérabilité dans le système de cryptage des données avec certains modèles SSD avec protection matérielle. Ainsi, en utilisant des méthodes spéciales, vous pouvez accéder aux données protégées, et il n'est pas nécessaire de connaître le mot de passe du tout.
Pour Windows, le problème s'est avéré le plus urgent, car le système de cryptage intégré Bitlocker Windows est désactivé si le système d'exploitation détermine que le SSD a une protection matérielle. En fait, les utilisateurs qui travaillent avec SSD rucial et Samsung et qui n'ont pas mis à jour le micrologiciel de leurs disques, gardent leurs données ouvertes aux attaquants. L'autre jour, Microsoft a publié des informations sur les méthodes de protection des données sur les SSD avec protection matérielle dans un environnement Windows.
La société a
publié un article indiquant que la fonction DMA (Direct Memory Access) est activée sur les systèmes 1394 et Thunderbolt. Il doit être désactivé séparément, par défaut, il est activé. Si un appareil protégé par BlitLocker est déverrouillé, la clé de chiffrement est stockée dans la mémoire de l'ordinateur. Si vous le souhaitez, les attaquants peuvent connecter un appareil 1394 ou Thubderbolt spécialement conçu au PC vulnérable pour rechercher et voler la clé de chiffrement.
Microsoft décrit plusieurs façons de se protéger contre ce type d'attaque. Par exemple, utilisez la fonction de protection DMA du noyau, disponible dans Windows 10 1803. Pour les utilisateurs qui ne disposent pas de cette fonction, Microsoft propose d'autres méthodes: «Pour Windows 10 1803 et versions ultérieures, si le système prend en charge la fonction de protection DMA du noyau, nous vous recommandons d'utiliser cette fonction une opportunité de réduire la probabilité d'une attaque réussie avec Thunderbolt DMA. "
Cette fonction verrouille les appareils Thunderbolt 3 connectés et ne leur donne pas accès à la fonction d'accès direct à la mémoire tant qu'un ensemble spécifique de procédures n'est pas terminé.
Lorsqu'un périphérique Thunderbolt 3 est connecté à un système avec la fonction de protection DMA du noyau activée, Windows vérifie les lecteurs système pour la prise en charge du remappage DMA. Il s'agit d'une fonction qui permet à une section spécifique de la mémoire isolée de fonctionner avec le périphérique utilisé pour fonctionner avec le système d'exploitation. Cela vous permet d'éviter l'intrusion de gadgets DMA dans toutes les autres zones de mémoire, sauf accord préalable.
Si le périphérique prend en charge l'isolement de la mémoire, Windows demandera immédiatement au périphérique de démarrer DMA dans des zones de mémoire isolées. Pour les périphériques dont les pilotes ne prennent pas en charge l'isolement de la mémoire, l'accès sera fermé jusqu'à ce que l'utilisateur se connecte ou déverrouille l'écran.
Pour les gadgets qui ne prennent pas en charge le remappage DMA, l'accès au système sera fermé jusqu'à ce que l'utilisateur se connecte ou déverrouille l'affichage. Une fois cela fait, Windows lancera un pilote spécialisé et permettra au gadget d'activer la fonction d'accès DMA.
La protection DMA du noyau est toujours disponible pour Windows 10 Build 1803, cependant, un nouveau firmware pour UEFI est nécessaire. Les utilisateurs de Windows peuvent découvrir cette méthode de protection ici. Si votre ordinateur ne prend pas en charge la protection DMA du noyau ou si la dernière version de Windows n'y est pas installée, Microsoft recommande de désactiver le pilote SBP-2 1394 et de désactiver les contrôleurs Thunderbolt dans Windows
Il vaut la peine de comprendre que si vous ne travaillez pas avec des appareils Thunderbolt ou 1394, la désactivation des contrôleurs n'aura aucun effet. En revanche, les utilisateurs qui disposent des types d'appareils mentionnés ci-dessus peuvent, sur les conseils de l'entreprise, bloquer la possibilité d'une telle attaque.
Microsoft prétend également que si le matériel n'est pas conforme aux directives d'
ingénierie de Windows , les fonctions DMA et 1943 de Thunderolt sont probablement désactivées. Cela signifie que les systèmes piratés commencent à fonctionner immédiatement lorsqu'ils sont connectés à un PC.
«Si votre matériel diffère des recommandations du Guide d'ingénierie de Windows, après avoir allumé le PC, Windows peut activer DMA sur un tel appareil. Et cela rend le système vulnérable aux compromis », a déclaré Microsoft dans un communiqué. Afin de désactiver les contrôleurs correspondants, des ID d'appareil exacts sont requis (il s'agit d'un système Plug and Play).