Thomas Lambertz, Sicherheitsforscher und Hardware-Hacker, zeigte auf dem Chaos Communication Congress in seinem Vortrag "Windows BitLocker: Screwed without a Screwdriver", wie sich mit Microsofts Laufwerksverschlüsselung BitLocker geschützte Windows-11-Systeme über das Netzwerk entschlüsseln lassen. Um das Gerät in den Wiederherstellungsmodus zu versetzen und ein Netzwerkkabel anzuschließen, ist dafür einmaliger physischer Zugriff erforderlich. Nicht nötig ist ein Öffnen des Geräts.

Seit Sommer 2022 ist der ausgenutzte Fehler CVE-2023-21563 dokumentiert und gehört zur Kategorie der "bitpixie"-Angriffen. Bislang hat Microsoft hdiese noch nicht richtig geschlossen. Lambertz demonstrierte, dass sich die Lücke mit einem Downgrade-Angriff weiterhin ausnutzen lässt.

Auf neueren Windows 11-Installationen wird BitLocker unter "Geräteverschlüsselung" standardmäßig aktiviert. Im Ruhezustand ist in diesem Modus die Festplatte verschlüsselt, wird aber automatisch entschlüsselt, wenn ein legales Windows gebootet wird.

Laut Lambertz sei Microsoft die Problematik schon lange bekannt. Nachhaltig helfen würde das Widerrufen der Zertifikate für anfällige Bootloader. Allerdings ist der dafür reservierte Speicherplatz in der UEFI-Firmware begrenzt. Microsoft plant ab 2026, neue Secure-Boot-Zertifikate zu verteilen, was Mainboard-Hersteller zu UEFI-Updates zwingen würde.

Nur durch Sicherung von BitLocker mit einer Benutzer-PIN ist ein vollständiger Schutz gegen die bitpixie-Lücke derzeit möglich, was je nach Windows-Version eingeschränkt sein kann. Zudem rät Lambertz dazu, im BIOS-Setup die Netzwerk-Optionen zu deaktivieren, da Angreifer den bitpixie-Bug auch über USB-Netzwerkadapter ausnutzen könnten.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE