安全研究人员已经展示了一种强大的软件技术,可以绕过微软BitLocker加密,而无需螺丝刀,烙铁或硬件黑客。

vulnerability使用称为Bitpixie(CVE-2023-21563)的漏洞,红色团队和攻击性安全专业人员可以从内存中提取BitLocker Volume Master Key(VMK),在五分钟内有效地解密完全受保护的Windows设备。

exploitation“利用被滥用的Bitpixie漏洞是非侵入性的,不需要任何永久性的设备修改,也没有完整的磁盘映像,”Compass Security的研究员Marc Tanner在红色团队评估摘要中写道。

该报告描述了两种主要的基于软件的攻击路径:一种基于Linux的攻击路径,另一种基于Windows PE的攻击路径 – 每个路径都利用易受攻击的引导路径和BitLocker对TPM的依赖,而无需预先启动身份验证。

基于Linux的攻击(Bitpixie Linux Edition)

通过 Shift+Reboot 输入 Windows 恢复。PXE 引导到易受攻击的 Windows 引导管理器。修改引导配置数据以强制 PXE 软重启。加载一个签名的 Linux shim(shimx64.efi)。链加载 GRUB、Linux 内核和 initramfs。使用内核模块扫描 VMK 的物理内存。通过 dislocker 使用提取的 VMK 调装卷。

此攻击完全绕过 BitLocker 保护,只要设备在启动时不需要 PIN 或 USB 密钥。

“它允许在某些社会工程场景中快速(约5分钟)妥协和更灵活地集成,”报告指出。

Windows基于PE的攻击(Bitpixie WinPE版)

对于阻止第三方签名组件(例如联想安全核心 PC)的系统,攻击者可以转向 Windows 原生攻击路径:

PXE 引导到 Windows 引导管理器再次与修改的 BCD。加载包含winload.efi,ntoskrnl.exe和其他签名的Microsoft组件的WinPE映像。运行自定义版本的 WinPmem 以扫描 VMK 的内存。使用 VMK 解密 BitLocker 元数据并检索人类可读的恢复密钥。

“基于WindowsPE的攻击流仅使用由Microsoft签名的核心组件……适用于所有受影响的设备,只要他们信任Microsoft Windows Production PCA 2011证书,”研究人员解释说。

虽然BitLocker通常部署在仅使用TPM保护的用户方便中,但这种配置使系统容易受到仅软件攻击。

报告强调了启用启动前身份验证(PIN、USB密钥或密钥文件)的重要性,vulnerability指出:“Bitpixie漏洞——更一般地说是硬件和软件攻击——可以通过强制启动前身份验证来减轻。

安全团队应使用 BitLocker 对所有设备进行审核,并立即执行预启动身份验证。