Luka bezpieczeństwa w Windows 11. Szyfrowanie BitLocker nadal można złamać
Dwa lata po rzekomym załataniu luki w szyfrowaniu BitLocker w systemie Windows 11, hakerzy nadal mogą ją wykorzystać do odszyfrowania dysków. Obecność luki potwierdził badacz ds. bezpieczeństwa Thomas Lambertz (th0mas) podczas konferencji Chaos Communication Congress.
BitLocker służy do szyfrowania dysków twardych, zapewniając ochronę danych przed nieautoryzowanym dostępem. Funkcja ta jest domyślnie włączona w nowoczesnych instalacjach systemu w Windows 11 i automatycznie szyfruje dane w stanie spoczynku. Po uruchomieniu systemu Windows, BitLocker automatycznie odszyfrowuje dysk, umożliwiając dostęp do danych tylko po poprawnym uwierzytelnieniu użytkownika.
W 2022 r. odkryto lukę o numerze CVE-2023-21563, która pozwalała na obejście zabezpieczeń BitLocker i odszyfrowanie dysku. Firma Microsoft ogłosiła w listopadzie 2022 r., że luka została załatana i system Windows 11 jest teraz bezpieczny. Okazuje się jednak, że luka ta nadal może być wykorzystywana do ataku.
Dalsza część artykułu pod materiałem wideo
Luka BitLocker w Windows 11
Szczegóły ataku zdradził Thomas Lambertz (th0mas) podczas konferencji 38th Chaos Communication Congress. Całą konferencję można zobaczyć tutaj.
Haker wykorzystał funkcję Secure Boot, aby uruchomić przestarzały loader systemu Windows, który w trybie odzyskiwania "zapomina" klucz szyfrowania przechowywany w pamięci operacyjnej. Aby go zdobyć, haker uruchomił zmodyfikowany system Linux z Secure Boot, co pozwoliło mu uzyskać dostęp do pamięci RAM. Następnie wykorzystał lukę w jądrze Linuxa, by odczytać zawartość pamięci i wyciągnąć zapomniany klucz główny BitLockera, co umożliwiło dostęp do zaszyfrowanych danych bez fizycznego dostępu do nośnika.
Jak zabezpieczyć się przed atakiem?
Lambertz podkreślił, że Microsoft jest świadomy problemu od dłuższego czasu. Aby go rozwiązać, firma mogłaby unieważnić certyfikaty dla podatnych bootloaderów, jednak w firmware UEFI jest na to ograniczone miejsce. Od 2026 r. Microsoft planuje dystrybucję nowych certyfikatów Secure Boot, co zmusi producentów płyt głównych do aktualizacji oprogramowania UEFI.
Obecnie pełna ochrona przed luką jest możliwa tylko poprzez zabezpieczenie BitLockera PIN-em użytkownika. Taka funkcja jest jednak ograniczona w zależności od wersji systemu Windows. Lambertz sugeruje również wyłączenie opcji sieciowych w BIOS-ie, ponieważ atakujący mogą wykorzystać tę lukę przez adaptery USB.
Paweł Maziarz, dziennikarz dobreprogramy.pl
