Alguns dias atrás
, um artigo foi
publicado no Habré sobre um estudo de cientistas da Universidade de Radboard que encontraram uma vulnerabilidade no sistema de criptografia de dados com alguns modelos de SSD com proteção de hardware. Portanto, usando métodos especiais, você pode acessar dados protegidos e não é necessário saber a senha.
Para o Windows, o problema acabou sendo o mais urgente, pois o sistema de criptografia interno do Windows Bitlocker será desativado se o sistema operacional determinar o SSD como tendo proteção de hardware. De fato, os usuários que trabalham com SSD rucial e Samsung e não atualizaram o firmware de suas unidades mantêm seus dados abertos para os invasores. Outro dia, a Microsoft publicou informações sobre métodos de proteção de dados em SSDs com proteção de hardware em um ambiente Windows.
A empresa
publicou um artigo informando que os sistemas 1394 e Thunderbolt têm o recurso Direct Memory Access (DMA) ativado. Ele deve ser desligado separadamente, por padrão está ativado. Se um dispositivo protegido pelo BlitLocker for desbloqueado, a chave de criptografia será armazenada na memória do computador. Se desejado, os invasores podem conectar um dispositivo 1394 ou Thubderbolt especialmente projetado ao PC vulnerável para procurar e roubar a chave de criptografia.
A Microsoft descreve várias maneiras de se proteger contra esse tipo de ataque. Por exemplo, use a função Proteção do Kernel DMA, disponível no Windows 10 1803. Para usuários que não possuem essa função disponível, a Microsoft oferece outros métodos: “Para o Windows 10 1803 e posterior, se o sistema suportar a função Proteção do Kernel DMA, recomendamos o uso deste uma oportunidade de reduzir a probabilidade de um ataque bem-sucedido com o Thunderbolt DMA ".
Esta função bloqueia os dispositivos Thunderbolt 3 conectados e não lhes dá acesso à função Direct Memory Access até que um conjunto específico de procedimentos seja concluído.
Quando o dispositivo Thunderbolt 3 é conectado a um sistema com o recurso Proteção de DMA do Kernel ativado, o Windows verifica as unidades do sistema para suporte ao remapeamento do DMA. Essa é uma função que permite que uma seção específica da memória isolada funcione com o dispositivo usado para trabalhar com o sistema operacional. Isso permite evitar a intrusão de dispositivos de DMA em outras áreas da memória, exceto se acordado anteriormente.
Se o dispositivo oferecer suporte ao isolamento de memória, o Windows instruirá imediatamente o dispositivo a iniciar o DMA em áreas isoladas da memória. Para dispositivos cujos drivers não suportam isolamento de memória, o acesso será fechado até que o usuário faça login ou desbloqueie a tela.
Para os gadgets que não têm suporte para remapeamento de DMA, o acesso ao sistema será fechado até que o usuário efetue login ou desbloqueie a exibição. Feito isso, o Windows iniciará um driver especializado e permitirá que o gadget ative a função de acesso ao DMA.
O KMA DMA Protection ainda está disponível para o Windows 10 Build 1803, no entanto, é necessário um novo firmware para UEFI. Os usuários do Windows podem aprender sobre esse método de proteção aqui. Se o seu computador não suportar a Proteção de DMA do Kernel ou se a versão mais recente do Windows não estiver instalada, a Microsoft recomenda desativar o driver SBP-2 1394 e desativar os controladores de raio no Windows
Vale a pena entender que, se você não trabalhar com dispositivos Thunderbolt ou 1394, desabilitar os controladores não terá exatamente nenhum efeito. Por outro lado, os usuários que possuem os tipos de dispositivos mencionados acima podem, seguindo os conselhos da empresa, bloquear a possibilidade de um ataque desse tipo.
A Microsoft também afirma que, se o hardware não estiver em conformidade com as
Diretrizes de Engenharia do
Windows , provavelmente desabilitará as funções DMA e 1943 do Thunderolt. Isso significa que os sistemas piratas começam a funcionar imediatamente quando conectados a um PC.
“Se o seu hardware for diferente das recomendações das Diretrizes de Engenharia do Windows, depois de ligar o PC, o Windows poderá ativar o DMA nesse dispositivo. E isso torna o sistema vulnerável a compromissos ”, afirmou a Microsoft em comunicado. Para desativar os controladores correspondentes, são necessárias identificações exatas do dispositivo (este é um sistema Plug and Play).