Arten von Angriffen auf Volumeverschlüsselungsschlüssel

Windows schützt Ihre Organisation auf vielfältige Weise vor Angriffen, z. B. durch „Sicherer Start“ gemäß Unified Extensible Firmware Interface (UEFI), Trusted Platform Module (TPM), Gruppenrichtlinien, komplexe Kennwörter und Kontosperrungen.

In den nächsten Abschnitten werden die einzelnen Angriffstypen beschrieben, durch die ein Volumeverschlüsselungsschlüssel – für BitLocker oder eine nicht von Microsoft stammende Verschlüsselungslösung – gefährdet werden könnte. Nachdem ein Angreifer einen Volumeverschlüsselungsschlüssel kompromittiert hat, kann der Angreifer Daten auf Ihrem Systemlaufwerk lesen oder sogar Schadsoftware installieren, während Windows offline ist. Jeder Abschnitt beginnt mit einer grafischen Übersicht der Stärken und Schwächen der Angriffsmethode sowie Vorschlägen zur Risikominderung.

Bootkit- und Rootkitangriffe

Rootkits sind ausgefeilte, gefährliche Schadsoftware, die im Kernelmodus ausgeführt wird und die gleichen Berechtigungen wie das Betriebssystem ausnutzt. Da Rootkits dieselben, möglicherweise aber noch mehr Rechte als das Betriebssystem besitzen, können sie sich vor Windows und sogar vor einer Antischadsoftwarelösung vollständig verbergen. Rootkits sind häufig Bestandteil einer ganzen Schadsoftware-Suite, die lokale Anmeldedaten umgehen, Kennwörter aufzeichnen, private Dateien übertragen und Kryptografieschlüssel erfassen kann.

Verschiedene Bootkit- und Rootkittypen werden auf unterschiedlichen Softwareebenen geladen:

• Kernelebene. Auf der Kernelebene ausgeführte Rootkits haben im Betriebssystem die höchste Berechtigung. Sie können u. U. Malware einschleusen oder Teile des Kernbetriebssystems ersetzen, einschließlich der Kernel- und Gerätetreiber.

• Anwendungsebene. Diese Rootkits zielen darauf ab, Binärdateien von Anwendungen durch Malware, z. B. einen Trojaner, zu ersetzen, und können sogar das Verhalten vorhandener Anwendungen verändern.

• Bibliotheksebene. Rootkits auf Bibliotheksebene sollen Malware per Hook oder Patch in Systemaufrufe einbinden bzw. Systemaufrufe durch Malware ersetzen, die Schadsoftware verbirgt.

• Hypervisorebene. Hypervisor-Rootkits haben die Startsequenz zum Ziel. Ihr Hauptzweck besteht darin, die Startsequenz zu ändern, um sich selbst als Hypervisor zu laden.

• Firmwareebene. Diese Rootkits überschreiben die BIOS-Firmware des PCs und gewähren der Schadsoftware Low-Level-Zugriff. Außerdem kann u. U. Schadsoftware installiert bzw. verborgen werden, obwohl sie bereinigt oder von der Festplatte entfernt wurde.

Unabhängig vom Betriebssystem oder von der Verschlüsselungsmethode haben Rootkits nach der Installation Zugriff auf vertrauliche Daten. Rootkits auf Anwendungsebene können alle Dateien lesen, auf die der Benutzer Zugriff hat, und umgehen die Verschlüsselung auf Volumeebene. Rootkits auf Kernel-, Bibliotheks-, Hypervisor- und Firmwareebene haben direkten Zugriff auf Systemdateien auf verschlüsselten Volumes und können auch einen Verschlüsselungsschlüssel aus dem Arbeitsspeicher abrufen.

Windows bietet umfangreichen Schutz vor Bootkits und Rootkits, allerdings kann die Betriebssystemsicherheit umgangen werden, wenn ein Angreifer physischen Zugriff auf das Gerät hat und die Schadsoftware auf dem Gerät installieren kann, während Windows offline ist. Ein Angreifer könnte z. B. einen PC von einem USB-Speicherstick starten, der Schadsoftware enthält, die vor Windows gestartet wird. Die Schadsoftware kann Systemdateien oder PC-Firmware ersetzen oder Windows unter ihrer Kontrolle starten.

Um einen PC ausreichend vor Bootkits und Rootkits zu schützen, müssen Geräte eine Authentifizierung vor dem Start oder „Sicherer Start“ verwenden. Alternativ muss die Verschlüsselungslösung das Trusted Platform Module (TPM) des Geräts verwenden, um die Integrität des End-to-End-Startvorgangs zu überwachen. Die Authentifizierung vor dem Start ist unabhängig von der Hardware für alle Geräte verfügbar. Da sie aber nicht benutzerfreundlich ist, sollte sie nur verwendet werden, um eine Gefährdung des Geräts abzuwehren. Auf Geräten, auf denen „Sicherer Start“ aktiviert ist, muss die Authentifizierung vor dem Start nicht zum Schutz vor Bootkit- und Rootkitangriffen verwendet werden.

Der Kennwortschutz der UEFI-Konfiguration ist wichtig, um die Gerätekonfiguration zu schützen und zu verhindern, dass „Sicherer Start“ von einem Angreifer deaktiviert wird. Unverzichtbar ist dagegen die Verwendung eines TPMs und der zugehörigen Plattformkonfigurationsregister-Messungen (PCR, PCR7), die sicherstellen sollen, dass der Systembootloader (Windows- oder Nicht-Microsoft-Verschlüsselungslösung) manipulationssicher und der erste auf dem Gerät gestartete Code ist. Eine Verschlüsselungslösung, die nicht das TPM eines Geräts verwendet, um dessen Komponenten vor Manipulation zu schützen, ist u. U. selbst nicht in der Lage, sich vor Infektionen auf Bootkitebene zu schützen, durch die ein Benutzerkennwort oder Verschlüsselungsschlüssel erfasst werden könnte.

Aus diesem Grund werden das TPM und dessen PCRs immer verwendet, um die Integrität der Vor-Betriebssystemumgebung zu schützen und zu bestätigen, bevor der Zugriff auf verschlüsselte Volumes gewährt wird, wenn BitLocker auf Geräten mit einem TPM konfiguriert ist.

Durch Änderungen an der UEFI-Konfiguration wird PCR7 ungültig, und der Benutzer muss den BitLocker-Wiederherstellungsschlüssel eingeben. Dank dieser Funktion ist es nicht unbedingt nötig, die UEFI-Konfiguration mit einem Kennwort zu schützen. Wenn ein Angreifer „Sicherer Start“ erfolgreich deaktiviert oder die UEFI-Konfiguration auf andere Weise ändert, muss er den BitLocker-Wiederherstellungsschlüssel eingeben. Der UEFI-Kennwortschutz ist allerdings eine bewährte Methode und für Systeme, die kein TPM (z. B. Alternativen, die nicht von Microsoft stammen) verwenden, immer noch erforderlich.

Brute-Force-Anmeldeangriffe

Angreifer erraten jedes Kennwort, wenn Sie ihnen genug Zeit dazu lassen. Die Methode, bei der Millionen unterschiedlicher Kennwörter ausprobiert werden, bis das richtige gefunden ist, wird als Brute-Force-Anmeldeangriff bezeichnet. Theoretisch könnte ein Angreifer mit dieser Methode jedes Kennwort ausspionieren.

Es gibt drei Angriffsflächen für die Brute-Force-Methode:

• Authentifikator vor dem Start. Ein Angreifer könnte das Gerät direkt angreifen, indem er versucht, die BitLocker-PIN des Benutzers oder einen gleichwertigen Authentifikator zu erraten. Das TPM reduziert diese Gefährdung, indem eine Anti-Hammering-Sperrfunktion (Sperre für eine schnelle Wiederholung der Anmeldedateneingabe) aufgerufen wird, durch die der Benutzer bis zum Ende der Sperrperiode warten oder den BitLocker-Wiederherstellungsschlüssel eingeben muss.

• Wiederherstellungsschlüssel. Ein Angreifer könnte versuchen, den 48-stelligen BitLocker-Wiederherstellungsschlüssel zu erraten. Selbst ohne Sperrperiode ist der Schlüssel so lang, dass Brute-Force-Angriffe ungeeignet sind. Insbesondere der BitLocker-Wiederherstellungsschlüssel hat eine Entropie von 128 Bits. Daher wäre der durchschnittliche Brute-Force-Angriff nach 18.446.744.073.709.551.616 Rateversuchen erfolgreich. Wenn ein Angreifer 1 Million Kennwörter pro Sekunde erraten könnte, wäre der durchschnittliche Brute-Force-Angriff erst nach mehr als 580.000 Jahren erfolgreich.

• Authentifikator für die Betriebssystemanmeldung. Ein Angreifer kann versuchen, einen gültigen Benutzernamen und ein gültiges Kennwort zu erraten. Da Windows eine Verzögerung zwischen Kennwortrateversuchen implementiert, werden Brute-Force-Angriffe verlangsamt. Außerdem können Administratoren in allen aktuellen Windows-Versionen festlegen, dass komplexe Kennwörter und Kennwortsperren erforderlich sind. Administratoren können auch eine Microsoft Exchange ActiveSync-Richtlinie oder -Gruppenrichtlinie für die Konfiguration von Windows 8.1 und Windows 8 verwenden, durch die nach einer bestimmten Anzahl ungültiger Kennworteingaben ein automatischer Neustart ausgeführt wird und Benutzer den 48-stelligen BitLocker-Wiederherstellungsschlüssel eingeben müssen. Wenn diese Einstellungen aktiviert sind und Benutzer bewährte Methoden für komplexe Kennwörter befolgen, ergeben Brute-Force-Angriffe auf Betriebssystemanmeldungen keinen Sinn mehr.

Brute-Force-Angriffe auf Anmeldedaten unter Windows sind normalerweise nicht praktikabel, wenn Administratoren komplexe Kennwörter und Kontosperrungen erzwingen.

DMA-Angriffe

Der direkte Speicherzugriff (DMA) ermöglicht bestimmten Typen von Hardwaregeräten die direkte Kommunikation mit dem Systemspeicher eines Geräts. Wenn Sie beispielsweise Thunderbolt verwenden, um ein anderes Gerät mit Ihrem Computer zu verbinden, hat das zweite Gerät automatisch Lese- und Schreibzugriff auf den Arbeitsspeicher des Zielcomputers.

Für DMA-Ports wird leider keine Authentifizierung und Zugriffssteuerung verwendet, um den Inhalt des Computerarbeitsspeichers zu schützen. Während unter Windows häufig verhindert werden kann, dass Systemkomponenten und Apps Lese- und Schreibvorgänge in geschützten Speicherbereichen ausführen, kann ein Gerät mittels DMA Lesevorgänge in beliebigen Arbeitsspeicherbereichen ausführen, einschließlich des Speicherbereichs von Verschlüsselungsschlüsseln.

DMA-Angriffe sind relativ einfach und erfordern kaum technische Kenntnisse. Jeder hat die Möglichkeit, ein Tool wie das von Passware, ElcomSoft und anderen Herstellern aus dem Internet herunterzuladen und mit einem DMA-Angriff vertrauliche Daten aus dem Arbeitsspeicher eines PCs auszulesen. Da Verschlüsselungslösungen ihre Verschlüsselungsschlüssel im Arbeitsspeicher speichern, kann mit einem DMA-Angriff darauf zugegriffen werden.

Nicht alle Porttypen sind anfällig für DMA-Angriffe. Während insbesondere USB keinen direkten Speicherzugriff zulässt, sind Geräte mit den folgenden Porttypen angreifbar:

• FireWire

• Thunderbolt

• ExpressCard

• PCMCIA

• PCI

• PCI-X

• PCI Express

Für einen DMA-Angriff verbinden Angreifer in der Regel einen zweiten PC, auf dem ein Tool zum Durchsuchen des Arbeitsspeichers (z. B. Passware, ElcomSoft) ausgeführt wird, mit dem FireWire- oder Thunderbolt-Port des Zielcomputers. Nachdem die Verbindung hergestellt wurde, durchsucht die Software den Systemarbeitsspeicher des Zielcomputers nach dem Verschlüsselungsschlüssel. Nachdem er gefunden wurde, kann der Schlüssel zum Entschlüsseln des Laufwerks und Lesen oder Ändern der darauf gespeicherten Inhalte verwendet werden.

Theoretisch lässt sich dieser Angriff wesentlich effizienter umsetzen: Ein Angreifer erstellt ein benutzerdefiniertes FireWire- oder Thunderbolt-Gerät, das bereits über eine vorprogrammierte DMA-Angriffslogik verfügt. Jetzt muss der Angreifer das Gerät einfach nur noch physisch verbinden. Falls der Angreifer keinen physischen Zugriff hat, könnte er das Gerät als kostenlosen USB-Speicherstick an Mitarbeiter des Zielunternehmens verteilen. Sobald es verbunden ist, könnte das angreifende Gerät den Arbeitsspeicher des PCs mit einem DMA-Angriff nach dem Verschlüsselungsschlüssel durchsuchen. Anschließend könnte es den Schlüssel (oder beliebige andere Daten im Arbeitsspeicher des PCs) über die Internetverbindung des PCs oder eine eigene Drahtlosverbindung übertragen. Dieser Angriffstyp wäre äußerst komplex, da er erfordert, dass der Angreifer ein benutzerdefiniertes Gerät erstellt (Geräte dieses Typs sind derzeit nicht frei auf dem Market erhältlich).

Heutzutage werden DMA-Ports auf Windows-Geräten am häufigsten von Entwicklern zum Debuggen verwendet. Dies ist eine Aufgabe, die Entwickler manchmal, Verbraucher aber praktisch niemals ausführen müssen. Da Verbraucher mittlerweile auf sicherere Porttypen wie USB, DisplayPort und andere vertrauen, weisen die meisten neuen mobilen PCs gar keine DMA-Ports auf. Microsoft ist der Auffassung, dass DMA-Ports aufgrund bestehender Sicherheitsrisiken auf mobilen Geräten nicht implementiert werden sollten und hat deren Verwendung auf InstantGo-zertifizierten Geräten untersagt. InstantGo-Geräte bieten mit Mobiltelefonen vergleichbare Funktionen für Energieverwaltung und schnelles Einschalten. Als dieser Text verfasst wurde, waren diese Funktionen hauptsächlich in Windows-Tablets zu finden.

DMA-basierte Erweiterungssteckplätze sind eine weitere Angriffsstelle, allerdings werden diese Steckplätze in der Regel nur in Desktop-PCs zu Erweiterungszwecken verwendet. Organisationen können ihre Desktop-PCs physisch sichern, um externe Angriffe zu verhindern. Darüber hinaus würde ein DMA-Angriff auf den Erweiterungssteckplatz ein benutzerdefiniertes Gerät erfordern. Ein Angreifer würde höchstwahrscheinlich eine Schnittstelle mit einem herkömmlichen DMA-Port (z. B. FireWire) an den Steckplatz anschließen, um den PC anzugreifen.

Zur Abwehr eines portbasierten DMA-Angriffs kann ein Administrator Richtlinieneinstellungen konfigurieren, um FireWire und andere Gerätetypen zu deaktivieren, die über DMA verfügen. Darüber hinaus können diese Geräte auf vielen PCs mit Firmwareeinstellungen deaktiviert werden. Obwohl die Notwendigkeit, eine Authentifizierung vor dem Start auszuführen, auf Geräteebene oder über die Windows-Konfiguration beseitigt werden kann, ist das Feature für die BitLocker-Authentifizierung vor dem Start bei Bedarf weiterhin verfügbar. Wird das Feature verwendet, wird jede Art von Angriff auf DMA-Ports und Erweiterungssteckplätze auf beliebigen Gerätetypen erfolgreich abgewehrt.

Angriffe auf „Hyberfil.sys“

Die Datei „hyberfil.sys“ ist die Ruhezustanddatei von Windows. Sie enthält eine Momentaufnahme des Systemarbeitsspeichers, die generiert wird, wenn ein Gerät in den Ruhezustand wechselt. Außerdem enthält sie den Verschlüsselungsschlüssel für BitLocker und andere Verschlüsselungstechnologien. Laut Angreifern wurden Verschlüsselungsschlüssel erfolgreich aus der Datei „hyberfil.sys“ extrahiert.

Ähnlich wie bei dem im vorherigen Abschnitt behandelten Angriff auf den DMA-Port sind Tools erhältlich, mit denen die Datei „hyberfil.sys“ durchsucht und der Verschlüsselungsschlüssel gefunden werden kann. Passware bietet z. B. ein solches Tool an. Microsoft ist der Ansicht, dass Windows durch diese Art von Angriffen nicht kompromittiert werden kann, da die Datei „hyberfil.sys“ von Windows im verschlüsselten Systemvolume gespeichert wird. Folglich könnte ein Angreifer nur auf die Datei zugreifen, wenn er sowohl physischen als auch Anmeldezugriff auf den PC hätte. Wenn ein Angreifer Anmeldezugriff auf den PC hat, sprechen wenige Gründe dafür, das Laufwerk zu entschlüsseln, da er bereits über vollständigen Zugriff auf die darauf enthaltenen Daten verfügt.

In der Praxis besteht der einzige Fall, in dem ein Angriff auf „hyberfil.sys“ einem Angreifer zusätzlichen Zugriff gewähren würde, dann, wenn ein Administrator die Windows-Standardkonfiguration ändert und die Datei „hyberfil.sys“ auf einem unverschlüsselten Laufwerk speichert. Windows 10 bietet standardmäßig Schutz vor dieser Art von Angriffen.

Angriffe auf remanenten Speicher

Ein Angriff auf den remanenten Speicher ist ein Seitenkanalangriff, bei dem der Verschlüsselungsschlüssel nach dem Neustart eines PCs aus dem Arbeitsspeicher gelesen wird. Obwohl häufig davon ausgegangen wird, dass der Arbeitsspeicher eines PCs gelöscht sein sollte, wenn der PC neu gestartet wird, verlieren Speicherchips nicht sofort ihre Speicherfähigkeit, nachdem die Stromversorgung unterbrochen wurde. Daher kann ein Angreifer, der physischen Zugriff auf den PC-Speicher hat, Daten einschließlich des Verschlüsselungsschlüssels u. U. direkt aus dem Arbeitsspeicher lesen.

Bei dieser Art von Kaltstartangriff greift der Angreifer auf den physischen Speicher des PCs zu und stellt den Verschlüsselungsschlüssel wenige Sekunden oder Minuten, nachdem das Gerät ausgeschaltet wurde, wieder her. Dieser Angriffstyp wurde von Forschern der Princeton University demonstriert. Mit dem Verschlüsselungsschlüssel wäre der Angreifer in der Lage, das Laufwerk zu entschlüsseln und auf dessen Dateien zuzugreifen.

Angreifer gelangen wie folgt an die Schlüssel:

1. Einfrieren des PC-Arbeitsspeichers. Der Angreifer kann den Speicher beispielsweise mit einem Kältespray auf -50 °C herunterkühlen.

2. Erneutes Starten des PCs.

3. Starten mit einem anderen Betriebssystem, anstatt einen Windows-Neustart auszuführen. Dazu wird in der Regel ein startbarer Speicherstick angeschlossen oder eine startbare DVD geladen.

4. Das startbare Medium lädt die Tools für den Angriff auf den remanenten Speicher, die der Angreifer zum Durchsuchen des Systemspeichers nach den Verschlüsselungsschlüsseln verwendet.

5. Der Angreifer verwendet die Verschlüsselungsschlüssel, um auf die Laufwerkdaten zuzugreifen.

Wenn der Angreifer das Gerät nicht unter Verwendung eines anderen Betriebssystems starten kann (falls startbare Speichersticks beispielsweise deaktiviert wurden oder „Sicherer Start“ aktiviert ist), kann er versuchen, den eingefrorenen Speicher physisch aus dem Gerät zu entfernen und an ein anderes, möglicherweise identisches Gerät anzuschließen. Dieses Verfahren hat sich praktischerweise als sehr unzuverlässig herausgestellt, was in einer Analyse des Forschungsinstituts Defence Research and Development Canada (DRDC) – Valcartier Group – nachgewiesen wurde (siehe Detaillierte Analyse des Kaltstartangriffs). Bei einer wachsenden Anzahl moderner Geräte ist diese Art des Angriffs überhaupt nicht möglich, da der Arbeitsspeicher direkt auf die Hauptplatine gelötet ist.

Obwohl diese Angriffsart laut Forschung der Princeton University auf Geräten mit Wechselspeicher möglich war, hat sich die Gerätehardware seit der Veröffentlichung der Forschungsergebnisse im Jahr 2008 geändert:

• „Sicherer Start“ verhindert, dass Schadsoftwaretools, die dem von Princeton untersuchten Angriff zugrunde liegen, auf dem Zielgerät ausgeführt werden.

• Windows-Systeme mit BIOS oder UEFI können mit einem Kennwort gesperrt werden, und das Starten auf einem USB-Laufwerk kann verhindert werden.

• Wenn das Gerät einen USB-Start erfordert, kann dieser mithilfe von „Sicherer Start“ auf vertrauenswürdige Betriebssysteme beschränkt werden.

• Die Entladungsrate des Speichers kann von Gerät zu Gerät stark variieren, und viele Geräte verfügen über Speicher, der gegen Angriffe auf remanenten Speicher vollständig immun ist.

• Eine höhere Speicherdichte verringert die Remanenzeigenschaften und die Wahrscheinlichkeit, dass der Angriff erfolgreich verläuft. Dies gilt selbst dann, wenn der Speicher physisch entfernt und in ein identisches System eingebaut wird, in dem die Systemkonfiguration das Starten der Schadsoftwaretools ermöglicht.

Aufgrund dieser Faktoren sind derartige Angriffe auf modernen Geräten fast unmöglich. Auch in Fällen, in denen ältere Geräte diese Risiken aufweisen, liefern diese Angriffe unzuverlässige Ergebnisse. Ausführliche Informationen zum praktischen Nutzen rechtswidriger Speicherzugriffe und zu den Faktoren, die einen Computer anfällig oder resistent gegenüber Angriffen auf den remanenten Speicher machen, finden Sie unter Detaillierte Analyse des Kaltstartangriffs.

Das Feature für die BitLocker-Authentifizierung vor dem Start ist in der Lage, Angriffe auf den remanenten Speicher der meisten Geräte abzuwehren. Sie können die Risiken solcher Angriffe jedoch auch abschwächen, indem Sie die UEFI oder das BIOS des Systems schützen und verhindern, dass der PC von externen Medien (z. B. einem USB-Speicherstick oder einer DVD) startet. Die letzte Option ist häufig die bessere Wahl, da sie genügend Schutz bietet, ohne die Benutzerfreundlichkeit durch die Authentifizierung vor dem Start zu beeinträchtigen.

Weitere Informationen

• BitLocker-Gegenmaßnahmen

• Wählen der richtigen BitLocker-Gegenmaßnahme

• Schützen von BitLocker vor Angriffen vor dem Start

• BitLocker-Übersicht