BitLocker, TPM schützt nicht alle PCs gegen VBootkit 2.0

Trusted Platform Modules und BitLocker Drive Encryption können Windows 7-Computer vor einer Bootkit-Attacke schützen, die letzte Woche vorgestellt wurde. Diese Technologien werden jedoch nicht auf einem großen Teil der Computer verfügbar sein und Millionen von Benutzern ungeschützt lassen nächste Version von Windows.

VBootkit 2.0 ist ein Proof-of-Concept-Code, den die Sicherheitsforscher Vipin Kumar und Nitin Kumar von NVLabs auf der Sicherheitskonferenz Hack In The Box (HITB) letzte Woche in Dubai vorgestellt haben. Der nur 3 KB große Code ermöglicht es einem Angreifer, die Kontrolle über einen Windows 7-Computer zu übernehmen, indem er Dateien patcht, sobald diese in den Hauptspeicher des Systems geladen werden. Da auf der Festplatte des Computers keine Software geändert wird, ist der Angriff fast nicht zu erkennen.

VBootkit 2.0 ist eine aktualisierte Version eines früheren Tools namens VBootkit 1.0, das auf ähnliche Weise die Kontrolle über einen Windows Vista-Computer übernehmen kann

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Sobald ein Angreifer während des Startvorgangs die Kontrolle über den Windows 7-Computer übernommen hat, können Sie mit VBootkit 2.0 Zugriff auf den Computer auf Systemebene erhalten. das höchste mögliche Niveau. Sie können auch Benutzerkennwörter entfernen, um auf geschützte Dateien zuzugreifen und DRM-Schutz (Digital Rights Management) vor Multimedia-Dateien zu schützen. Die Passwörter können dann wiederhergestellt werden, und alle Beweise, dass es kompromittiert wurde, werden ausgeblendet.

"Es gibt keine Lösung dafür. Es kann nicht repariert werden. Es ist ein Designproblem", sagte Vipin Kumar während seiner Präsentation letzte Woche unter Hinweis auf die Annahme von Windows 7 dass der Startvorgang vor Angriffen sicher ist.

Als Reaktion darauf gab ein Microsoft-Mitarbeiter an, dass die Unterstützung von Windows 7 für Trusted Platform Module (TPM) und BitLocker-Laufwerkverschlüsselung (BDE) "ungültig" ist und die Bedrohung für Benutzer herunterspielt.

Diese Behauptung ist teilweise richtig. TPMs sind Mikrocontroller, die Verschlüsselungsschlüssel und digitale Signaturen enthalten und durch Hardware-Authentifizierung von Softwaredateien ein zusätzliches Sicherheitsniveau bieten. BDE ist eine Datensicherungsfunktion, die in einigen Versionen von Windows Vista verfügbar ist und Daten auf der Festplatte eines Computers verschlüsselt. Dies sind mächtige Schutzmechanismen, die Bootkit-Angriffe abwehren, aber sie sind nicht auf allen Computern verfügbar.

"TPM und BitLocker (zusammen) würden VBootkit daran hindern, zu funktionieren. Aber TPM ist auf Consumer-PCs nicht verfügbar - die meisten von ihnen - und BitLocker ist nur in High-End-Editionen von Vista verfügbar ", schrieb Nitin Kumar in einer E-Mail.

Die Beschränkung von BitLocker auf High-End-Versionen von Windows Vista, die mehr kosten als bei anderen Versionen, ist beabsichtigt. Microsoft segmentiert Windows in verschiedene Versionen mit unterschiedlichen Preisen, um unterschiedliche Märkte anzusprechen. Da Unternehmenskunden bereit sind, mehr für Sicherheitsfunktionen wie BitLockers zu bezahlen, werden diese Funktionen nicht mit kostengünstigeren Versionen des Betriebssystems angeboten. Das ist eine kluge Herangehensweise aus Sicht des Produktmarketings und -verkaufs, aber es lässt Millionen von Benutzern ohne das gleiche Maß an Schutz.

BitLocker wird laut den neuesten Plänen von Microsoft nicht für alle Versionen von Windows 7 verfügbar sein. Es wird als Funktionen von Windows 7 Enterprise und Windows 7 Ultimate verfügbar sein, wird aber nicht Teil der anderen vier Versionen des Betriebssystems sein: Professional, Home Premium, Home Basic und Starter. Das bedeutet, dass Computer mit diesen Varianten von Windows 7, die wahrscheinlich den Großteil der Windows 7-Benutzer darstellen, nicht gegen VBootkit-artige Angriffe geschützt sind.

Der am HITB Dubai demonstrierte Proof-of-Concept-Code bietet eine eingeschränkte Sicherheit Bedrohung, da ein Angreifer physische Kontrolle über einen Computer haben muss, um VBootkit 2.0 zu verwenden, indem er die Software mit einer CD-ROM, einem USB-Speicherstick oder über einen FireWire-Anschluss lädt. Aber das bedeutet nicht, dass der Code nicht für einen Remote-Angriff modifiziert werden kann.

Ein Vorläufer von VBootkit, genannt Bootkit, wurde unter einer Open-Source-Lizenz veröffentlicht und von anderen für Remote-Angriffe gegen Computer mit Windows XP modifiziert, sagte Nitin Kumar.

VBootkit 2.0 könnte für den Einsatz als BIOS-Virus, PXE, modifiziert werden Boot-Virus (Pre-Boot Execution Environment) oder ein normaler Boot-Virus. Aus diesem Grund plant NVLabs, den VBootkit 2.0-Code unter Verschluss zu halten. "Wir haben keine Pläne, Open Source zu machen, wegen der Möglichkeit eines Missbrauchs", sagte er.

Zwar gibt es einen gewissen Trost in der Entscheidung von NVLabs, den VBootkit 2.0-Code nicht zu veröffentlichen, aber die Geschichte hat gezeigt, dass es eine Gruppe gibt Sicherheitsforscher können eine Schwachstelle finden und ausnutzen, eine andere Gruppe oder Individuen können sie ebenfalls ausnutzen.