Microsoft’un BitLocker şifrelemesi, kullanıcıların bilgileri inançlı bir halde şifreleyerek müdafaasına imkan tanıyan şifreleme tahlillerinden biridir. Lakin, BitLocker, sanıldığı kadar inançlı değil!
Raspberry Pi Pico kullanıldı
YouTuber stacksmashing, BitLocker datalarına nasıl müdahale edebildiğini ve sistemde depolanan bilgilerin şifresini çözmesine imkan tanıyan şifreleme anahtarlarını nasıl çalabildiğini gösteren bir görüntü yayınladı. Üstelik bu süreci muhtemelen maliyeti 10 dolardan az olan Raspberry Pi Pico’yu kullanarak yaptı ve 43 saniyede sonuç elde etti. Saldırıyı gerçekleştirmek için Sağlam Platform Modülü yahut TPM’den yararlandı. Birçok bilgisayarda TPM harici olarak bulunuyor ve CPU’ya data gönderip almak için LPC data yolunu kullanıyor. Microsoft’un BitLocker’ı, Platform Yapılandırma Kayıtları ve Ünite Ana Anahtarı üzere kritik dataları depolamak için TPM’ye güveniyor.
YouTuber, testlerde LPC bilgi yolunun önyükleme sırasında şifrelenmemiş olan ve kritik bilgileri çalmak için yararlanılabilen irtibat yolları aracılığıyla CPU ile bağlantı kurduğunu fark etti. Saldırıyı, anakartında M.2 SSD yuvasının yanında kullanılmayan bir LPC konektörü bulunan eski bir Lenovo dizüstü bilgisayarda gerçekleştirdi. Stacksmashing, açılış sırasında şifreleme anahtarlarını almak için Raspberry Pi Pico’yu kullanılmayan konektördeki metal pinlere bağladı. Raspberry Pi, sistem başlatılırken TPM’den ikili 0’ları ve 1’leri yakalayacak biçimde ayarlandı. Böylece Volume Master Key’i elde edebildi. Süreç tamamlandığında, şifrelenmiş sürücüyü çıkardı ve şoförün şifresini çözmek için Volume Master Key ile dislocker yazılımını kullandı.
Microsoft, bu atakların mümkün olduğunu lakin gelişmiş araçlar gerektirdiğini ve cihaza uzun müddetli fizikî erişimin olması gerektiğini belirtiyor. Lakin görüntüde görüldüğü üzere saldırıyı gerçekleştirmeye hazırlanan biri bunu bir dakikadan kısa müddette gerçekleştirebilir. Bu atak sadece CPU’nun anakarttaki modülden data alması gereken harici TPM modülleriyle çalışıyor. Artık birçok yeni laptop ve masaüstü CPU, kritik bilgilerin CPU’nun içinde saklandığı ve yönetildiği fTPM ile geliyor. Bununla birlikte Microsoft, bu akınları durdurmak için BitLocker PIN’i ayarlamanızı öneriyor.
