Methode zum Umgehen von BitLocker unter Windows 11 per Speicher-Dump

 (noinitrd.github.io)
2 Punkte von GN⁺ 2025-01-01 | 1 Kommentare | Auf WhatsApp teilen

  • Einführung

    • Dieser Artikel beschreibt, wie sich die BitLocker-Verschlüsselung unter Windows 11 (Version 24H2) umgehen lässt. Dies geschieht durch das Extrahieren des Full Volume Encryption Key (FVEK) aus dem Arbeitsspeicher.

  • Hintergrund

    • Wenn ein Angreifer physischen Zugriff auf das Gerät hat, kann er den Computer abrupt neu starten und den RAM der zuletzt laufenden Windows-Instanz dumpen, um an sensible Informationen zu gelangen.
    • Der Inhalt des RAM wird nach einer Unterbrechung der Stromversorgung schnell beschädigt. Um dies zu verhindern, gibt es Methoden wie das physische Kühlen des RAM oder die Nutzung einer externen Stromversorgung.
    • Secure Boot ist ein Sicherheitsstandard, der einschränkt, was beim Start des Geräts ausgeführt werden kann, es gibt jedoch Möglichkeiten, ihn zu umgehen.

  • Schritt 1: Bootfähiges USB-Gerät erstellen

    • Es wird ein USB-Speichergerät benötigt, das größer ist als der RAM des Zielsystems.
    • Das Skript flashimage.sh wird verwendet, um eine bootfähige Anwendung zu erstellen und zu nutzen.

  • Schritt 2: Zielsystem abrupt neu starten

    • Ziel ist es, die Zeit zu minimieren, in der der Computer vollständig ausgeschaltet ist.
    • Während Windows lädt, ist es effektiv, das System neu zu starten, bevor der Anmeldebildschirm erscheint.

  • Schritt 3: Vom USB-Gerät booten

    • Es wird sofort vom USB-Gerät in Memory-Dump-UEFI gebootet, um die UEFI-Shell zu erreichen.
    • Führen Sie app.efi aus, um einen Speicher-Dump zu erzeugen.

  • Schritt 4: Dump analysieren

    • Aufgrund der 4-GB-Dateigrößenbeschränkung des FAT32-Dateisystems können mehrere Dumps erzeugt werden.
    • Mit dem Programm concatDumps lassen sich mehrere Dumps zu einer Datei zusammenführen.
    • Mit dem Programm searchMem können bestimmte Muster innerhalb des Dumps gesucht werden.

  • Pool-Tag

    • Ein Pool-Tag ist ein vier Zeichen langer Identifikator, der die Position im Windows-Kernel-Speicherpool angibt.
    • Die Datei pooltag.txt enthält verschiedene Pool-Tags und ihren Zweck.

  • Wiederherstellung des FVEK-Schlüssels

    • Der FVEK-Schlüssel kann unter dem Pool-Tag dFVE gefunden werden, das mit dem Full Volume Encryption Crash Dump Filter der BitLocker-Laufwerksverschlüsselung zusammenhängt.
    • Der Schlüssel kann auch unter dem Tag None gefunden werden.

  • Nächste Schritte

    • Der beim gewonnenen Schlüssel verwendete Algorithmus muss ergänzt werden.
    • Mit dem Tool dislocker kann das Laufwerk entsperrt werden.

  • Abschließende Hinweise

    • Um die Implementierung von BitLocker zu verstehen, ist Kernel-Level-Debugging am besten geeignet.
    • Microsoft versucht, Schlüssel zu zerstören, schafft es jedoch nicht, alle Schlüssel zu vernichten.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-01-01
Hacker-News-Kommentare

  • BitLocker bietet den größten Vorteil, wenn TPM (PCR 7+11) zusammen mit einer PIN verwendet wird. Ohne PIN kann der FVEK nicht gelesen werden, und bei vielen falschen PIN-Eingaben wechselt das TPM in den Lockout-Modus gegen Wörterbuchangriffe

    • Ich versuche unter Linux eine ähnliche Konfiguration; systemd-cryptsetup/cryptenroll ist nur für LUKS gedacht, daher möchte ich sensible Verzeichnisse mit fscrypt verschlüsseln
    • TPM ist sehr schwierig, sobald man mehr als nur das Grundlegende implementieren will
    • Es ist ein persönliches Projekt, und ich werde etwas dazu schreiben, wenn es fertig ist

  • Ich verstehe das Sicherheitsmodell von BitLocker nicht. Bei den meisten Installationen drückt man den Power-Button und bootet direkt in Windows

    • Wenn ein Rechner mit verschlüsselter Festplatte gestohlen wird, fragt man sich, ob man ihn dann nicht einfach einschalten kann
    • Ich nehme an, dass der Traffic auf dem SPI-Bus verschlüsselt sein sollte, aber es wirkt so, als würde der Rechner den Schlüssel leicht herausgeben
    • LUKS zeigt eine Passwortabfrage zum Entsperren des Laufwerks an

  • Ein bestimmter Angriff wird durch die Spezifikation zur Minderung von Platform-Reset-Angriffen für PC-Client-Workgroup-Plattformen vollständig abgewehrt

    • Wenn das Betriebssystem nicht sauber beendet wurde, löscht die Firmware den RAM und stoppt vor dem nächsten Boot
    • Ich frage mich, ob Windows das nicht verwendet oder ob das getestete System es nicht implementiert hat

  • Ich bin der Autor des Artikels. Schickt mir gern eine Nachricht, wenn ihr Fragen habt. Die Arbeit daran hat Spaß gemacht, und danke für das Interesse

  • Es gibt einen 38C3-Talk über das Umgehen von BitLocker unter Windows 11

  • Es gibt "Enterprise"-Maschinen, bei denen ein beliebiger Angreifer mit physischem Zugriff von außen keinen "plötzlichen Neustart" auslösen kann

    • Schade, dass weit verbreitete OEMs einen "plötzlichen Neustart" immer noch so leicht zulassen

  • BitLocker schützt nur, wenn der Computer ausgeschaltet ist, und sollte so konfiguriert werden, dass beim Booten ein Passwort verlangt wird

  • Windows schlägt Optionen für Speicherverschlüsselung und Speicherkomprimierung vor

    • Intel und AMD arbeiten daran, dies in die CPU zu integrieren; das Ziel sind Server mit mehreren VMs, nicht Laptops

  • Ich frage mich bei dem Exploit zum Auslesen eines Memory-Dumps des Zielrechners, ob bei physischem Zugriff ein "Interposer"-Gerät die Daten kopieren oder verändern könnte

    • Ob man Speicher ähnlich wie mit einem "Action Replay" für den Gameboy verändern kann
    • Ob man ein Gerät zwischen RAM und Mainboard einsetzen könnte, um den Speicherzustand abzugreifen
    • Ich bin kein Elektrotechniker, daher ist der Vorschlag vielleicht unrealistisch, aber es scheint physische Platz- und Bandbreitenbeschränkungen zu geben

  • Ein Surface 5 Pro mit BitLocker-verschlüsselter Festplatte wechselt beim Booten schnell in einen BSOD

    • Ich frage mich, ob es in dieser Situation funktionieren könnte, und warte auf einen Exploit, um Fotos von der Festplatte zu extrahieren