Обход BitLocker в Windows 10 посредством обновлений

Исследователь безопасности обнаружил новую проблему в операционной системе Microsoft Windows 10, которая позволяет злоумышленникам получить доступ к зашифрованным данным BitLocker.

Сообщение в блоге Win-Fu освещает этот метод. По сути, этот метод использует функцию устранения неполадок, которая включается в процессе обновления.

Есть небольшая, но СУМАСШЕДШАЯ ошибка в способе установки «Обновление функций» (ранее известное как «Обновление»). Установка новой сборки выполняется путем повторного создания образа машины и образа, установленного небольшой версией Windows под названием Windows PE (Preinstallation Environment).

У этого есть функция для устранения неполадок, которая позволяет вам нажать SHIFT + F10, чтобы получить командную строку. К сожалению, это позволяет получить доступ к жесткому диску, поскольку во время обновления Microsoft отключает BitLocker.

Если вы нажмете Shift-F10, вы откроете окно командной строки, которое позволит вам получить доступ к запоминающим устройствам операционной системы.

Поскольку защита BitLocker отключена во время обновлений, это означает, что любой, кто использует проблему, получает доступ ко всем файлам, которые обычно зашифрованы BitLocker.

Обход BitLocker в Windows 10 посредством обновлений

Bitlocker обойти Windows 10

В настоящее время этот метод работает при обновлении исходной сборки выпуска Windows 10 до ноябрьского обновления версии 1511 или юбилейного обновления версии 1607. Кроме того, он работает с любой новой сборкой для предварительной оценки, выпущенной Microsoft, по крайней мере, на данный момент.

Основная проблема, как отметил Сами Лайхо, исследователь, обнаруживший проблему, заключается в том, что любой, кто имеет локальный доступ к машине, может воспользоваться этой проблемой. Административный доступ не требуется, как и специальное программное обеспечение, настройки или оборудование на устройстве Windows.

Поскольку это локальная проблема, ясно, что проблема не будет использоваться в дикой природе. С другой стороны, любой, кто имеет локальный доступ к машине Windows, может воспользоваться этой проблемой. Если это пользователь, Windows 10 может быть настроена на прием обновлений Windows Insider, если это не запрещено системным администратором.

Поэтому компаниям следует запретить включение сборок Windows Insider для компьютеров под управлением Windows 10.

Делается это следующим образом:

  1. Нажмите на клавишу Windows, введите regedit.exe и нажмите клавишу Enter.
  2. Перейдите к следующему разделу реестра: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ WindowsSelfHost \ UI \ Visibilit у
  3. Щелкните правой кнопкой мыши «Видимость» и выберите «Создать»> «Значение Dword (32-бит)».
  4. Назови это HideInsiderPage .
  5. Дважды щелкните новую настройку и установите для нее значение 1.

Вы можете отменить изменение в любое время, удалив ключ или установив для него значение 0.

Компании также могут захотеть запретить автоматические обновления (не обязательно обновления) на компьютерах с Windows 10, чтобы предотвратить использование этой проблемы.

Вывод

Выявленная проблема безопасности проблематична для устройств, защищенных BitLocker и работающих под управлением Windows 10. Основная проблема, конечно же, заключается в обнаружении защищенных файлов во время процессов обновления.