几天前
,在Habré上
发表了一篇有关Radboard大学的科学家进行的研究的文章,该研究发现带有某些具有硬件保护功能的SSD模型的数据加密系统中存在漏洞。 因此,使用特殊方法,您可以访问受保护的数据,而根本不需要知道密码。
对于Windows来说,这个问题是最紧急的,因为如果操作系统确定SSD具有硬件保护功能,则会禁用内置的Windows Bitlocker加密系统。 实际上,使用SSDrucial和Samsung且未更新其驱动器固件的用户会使数据向攻击者开放。 前几天,Microsoft发布了有关Windows环境中具有硬件保护的SSD上的数据保护方法的信息。
该公司
发表了一篇文章,指出1394和Thunderbolt系统已激活了直接内存访问(DMA)功能。 必须单独关闭它,默认情况下它是打开的。 如果受BlitLocker保护的设备已解锁,则加密密钥将存储在计算机内存中。 如果需要,攻击者可以将经过特殊设计的设备1394或Thubderbolt连接到易受攻击的PC上,以搜索并窃取加密密钥。
Microsoft描述了几种防止此类攻击的方法。 例如,使用Windows 10 1803中提供的内核DMA保护功能。对于没有此功能的用户,Microsoft提供了其他方法:“对于Windows 10 1803和更高版本,如果系统支持内核DMA保护功能,我们建议使用此功能。这是减少使用Thunderbolt DMA成功进行攻击的可能性的机会。”
该功能将锁定连接的Thunderbolt 3设备,并且在完成一组特定的过程之前,不让它们访问直接内存访问功能。
将Thunderbolt 3设备连接到已激活内核DMA保护功能的系统时,Windows将检查系统驱动器是否支持DMA重新映射。 此功能允许隔离内存的特定部分与用于操作系统的设备一起使用。 这样可以避免DMA小工具侵入任何其他存储区域,除非事先达成协议。
如果设备支持内存隔离,则Windows将立即指示设备在内存的隔离区域中启动DMA。 对于其驱动程序不支持内存隔离的设备,访问将被关闭,直到用户登录或解锁屏幕为止。
对于不支持DMA重映射的小工具,将关闭对系统的访问,直到用户登录或解锁显示为止。 完成此操作后,Windows将启动专门的驱动程序,并允许该小工具激活DMA访问功能。
内核DMA保护仍可用于Windows 10 Build 1803,但是,需要用于UEFI的新固件。 Windows用户可以在这里了解这种保护方法。 如果您的计算机不支持内核DMA保护,或者未安装最新版本的Windows,Microsoft建议在Windows中停用SBP-2 1394驱动程序并禁用雷电控制器
值得了解的是,如果您不使用Thunderbolt或1394设备,则禁用控制器将不会有任何效果。 另一方面,具有上述设备类型的那些用户可以使用公司的建议,阻止此类攻击的可能性。
微软还声称,如果该硬件不符合
Windows工程指导 ,那么它很可能会禁用Thunderolt的DMA和1943功能。 这意味着盗版系统在连接到PC时会立即开始工作。
“如果您的硬件与Windows工程指南的建议不同,则在打开PC后,Windows可能会在此类设备上激活DMA。 ”微软在一份声明中说。 为了禁用相应的控制器,需要确切的设备ID(这是即插即用系统)。