BitLocker-förbikoppling på Windows 10 genom uppgraderingar

• Kategori: Säkerhet

Prova Vårt Instrument För Att Eliminera Problem

Välj Operativsystemet Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Välj Ett Projektprogram (Valfritt) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beskriv Ditt Problem

Få Svar

Skicka Mig Via E -Post Visa På Webbplatsen

En säkerhetsforskare upptäckte en ny fråga i Microsofts operativsystem Windows 10 som gör det möjligt för angripare att få tillgång till BitLocker-krypterad data.

Ett inlägg på Win-Fu-bloggen belyser metoden. I princip, vad metoden gör är att utnyttja en felsökningsfunktion som är aktiverad under uppgraderingsprocessen.

Det finns ett litet men CRAZY-fel på det sätt som 'Feature Update' (tidigare känd som 'Upgrade') är installerat. Installationen av en ny byggnad görs genom att återanvända maskinen och bilden installerad av en liten version av Windows som kallas Windows PE (Preinstallation Environment).

Detta har en funktion för felsökning som låter dig trycka på SHIFT + F10 för att få en kommandotolken. Detta möjliggör tyvärr åtkomst till hårddisken eftersom Microsoft under uppgraderingen inaktiverar BitLocker.

Om du trycker på Shift-F10 öppnar du ett kommandotolkfönster som låter dig få åtkomst till operativsystemets lagringsenheter.

Eftersom BitLocker-skydd är inaktiverat under uppgraderingar betyder det att den som utnyttjar problemet får åtkomst till alla filer som vanligtvis är krypterade av BitLocker.

BitLocker-förbikoppling på Windows 10 genom uppgraderingar

Metoden fungerar för närvarande när man uppdaterar den ursprungliga Windows 10-versionen till novemberuppdateringsversionen 1511 eller årsdagen-uppdateringsversionen 1607. Dessutom fungerar den på alla nya Insider Build som Microsoft lägger ut, åtminstone för närvarande.

Huvudfrågan, som noterats av Sami Laiho, forskaren som avslöjade frågan, är att alla med lokal tillgång till maskinen kan utnyttja problemet. Administrativ åtkomst krävs inte, och det är inte speciell programvara, inställningar eller hårdvara på Windows-enheten.

Eftersom detta är en lokal fråga är det uppenbart att frågan inte kommer att utnyttjas i naturen. Alla med lokal åtkomst till en Windows-maskin å andra sidan kan utnyttja problemet. Om det är en användare kan Windows 10 konfigureras för att acceptera Windows Insider-uppdateringar om det inte förhindras av en systemadministratör.

Företag bör därför inte tillåta att Windows Insider builds för maskiner som kör Windows 10 slås på.

Detta görs på följande sätt:

1. Klicka på Windows-nyckeln, skriv regedit.exe och tryck på Enter-tangenten.
2. Navigera till följande registernyckel: HKEY_LOCAL_MACHINE SOFTWARE Microsoft WindowsSelfHost UI Visibilit och
3. Högerklicka på Synlighet och välj Nytt> Dword (32-bitars) värde.
4. Namnge det HideInsiderPage .
5. Dubbelklicka på den nya inställningen och ställ in dess värde till 1.

Du kan ångra ändringen när som helst genom att ta bort nyckeln eller genom att ställa in den på 0.

Företag kanske också vill avvisa obevakade uppgraderingar (inte nödvändigtvis uppdateringar) på Windows 10-maskiner för att förhindra att problemet utnyttjas.

Stängande ord

Det avslöjade säkerhetsproblemet är problematiskt för BitLocker-skyddade enheter som kör Windows 10. Huvudproblemet här är naturligtvis avslöjande av skyddade filer under uppgraderingsprocesser.