BitLocker bypass på Windows 10 gennem opgraderinger

Prøv Vores Instrument Til At Fjerne Problemer

En sikkerhedsforsker opdagede et nyt problem i Microsofts Windows 10-operativsystem, der giver angribere mulighed for at få adgang til BitLocker-krypterede data.

Et indlæg på Win-Fu-blog fremhæver metoden. Grundlæggende, hvad metoden gør er at udnytte en fejlfindingsfunktion, der er aktiveret under opgraderingsprocessen.

Der er en lille, men CRAZY bug på den måde, 'Funktionsopdateringen' (tidligere kendt som 'Opgradering') er installeret. Installationen af ​​en ny build udføres ved at genanvende maskinen og billedet installeret af en lille version af Windows kaldet Windows PE (Preinstallation Environment).

Dette har en funktion til fejlfinding, der giver dig mulighed for at trykke på SHIFT + F10 for at få en kommandoprompt. Dette giver desværre adgang til harddisken, da Microsoft under opgraderingen deaktiverer BitLocker.

Hvis du trykker på Shift-F10, åbner du et kommandopromptvindue, der giver dig adgang til lagringsenhederne på operativsystemet.

Da BitLocker-beskyttelse er deaktiveret under opgraderinger, betyder det, at enhver, der udnytter problemet, får adgang til alle filer, der normalt er krypteret af BitLocker.

BitLocker bypass på Windows 10 gennem opgraderinger

bitlocker bypass windows 10

Metoden fungerer i øjeblikket, når der opdateres den originale Windows 10-version til November-opdateringsversionen 1511 eller jubilæumsopdateringsversionen 1607. Desuden fungerer den på enhver ny Insider Build, som Microsoft udsætter, i det mindste for tiden.

Det vigtigste spørgsmål, som bemærket af Sami Laiho, forskeren, der afslørede problemet, er, at enhver med lokal adgang til maskinen kan udnytte problemet. Administrativ adgang er ikke påkrævet, og det er heller ikke speciel software, indstillinger eller hardware på Windows-enheden.

Da dette er et lokalt emne, er det klart, at emnet ikke vil blive udnyttet i naturen. Enhver med lokal adgang til en Windows-maskine på den anden side kan udnytte problemet. Hvis det er en bruger, kan Windows 10 muligvis konfigureres til at acceptere Windows Insider-opdateringer, hvis det ikke er forhindret af en systemadministrator.

Virksomheder bør derfor afvise at tænde for Windows Insider builds til maskiner, der kører Windows 10.

Dette gøres på følgende måde:

  1. Tryk på Windows-nøglen, skriv regedit.exe, og tryk på Enter-tasten.
  2. Naviger til følgende registreringsdatabase-nøgle: HKEY_LOCAL_MACHINE SOFTWARE Microsoft WindowsSelfHost UI Visibilit og
  3. Højreklik på Synlighed, og vælg Ny> Dword (32-bit) værdi.
  4. Navn det HideInsiderPage .
  5. Dobbeltklik på den nye præference, og indstil dens værdi til 1.

Du kan til enhver tid fortryde ændringen ved at slette nøglen eller ved at indstille den til 0.

Virksomheder ønsker måske også at afvise uovervågede opgraderinger (ikke nødvendigvis opdateringer) på Windows 10-maskiner for at forhindre, at problemet udnyttes.

Lukende ord

Det afslørede sikkerhedsproblem er problematisk for BitLocker-beskyttede enheder, der kører Windows 10. Hovedproblemet her er naturligvis afsløringen af ​​beskyttede filer under opgraderingsprocesser.