A napokban tartották a Chaos Communication Congress névre keresztelt rendezvényt, amelynek keretén belül egy hacker, Thomas Lambertz egy meglehetősen érdekes előadást tartott a Windows 11 BitLocker implementációjának aktuális állapotával kapcsolatban.

A funkció körül korábban már több hibát is találtak a biztonságtechnikai szakemberek, az egyik ilyen bug a CVE-2023-21563-as bejegyzés alatt fut, segítségével megkerülhető a BitLocker adattitkosítás nyújtotta védelem, vagyis eléggé súlyos sérülékenységről van szó. Erről a sebezhetőségről a Microsoft állítólag már 2022 óta tudott és egy frissítés formájában már megpróbálták csökkenteni az általa kínált támadási felületet, ám ahogy arra Thomas Lambertz is rámutatott, ez nem igazán sikerült, a fentebb említett sérülékenység, ami Bitlocker Security Bypass Vulnerability névvel jellemezhető, még mindig támadható.

A nagyjából egy órás előadás alkalmával több érdekesség is elhangzott, egyebek mellett a különböző biztonsági technológiák működéséről is szó esett, úgy mint a Secure Boot és a TPM, valamint a PXE boot folyamat és a BCD bootloaderek szerepéről. Az igazi érdekesség az volt, amikor a hacker megmutatta, hogyan lehet megkerülni a BitLocker nyújtotta védelmet, és ezáltal hogyan lehet a teljes meghajtóra kiterjedő adattitkosítást kijátszani. A folyamat során lényegében a fentebb már említett bugot használta fel egy új módszer keretén belül, a célpont pedig egy Windows 11 alapú rendszer volt, ami az összes aktuális frissítést tartalmazta.

A folyamat keretén belül képes volt egy elavult Windows bootloader betöltésére, hiába volt aktív a Secure Boot funkció. Erre azért volt szükség, mert a bootloader nélkülözhetetlen ahhoz, hogy az adattitkosításhoz kulcs a memóriába kerülhessen, ahonnan azt egy Linux alapú operációs rendszerrel ki lehet nyerni. Ebből persze már sejthető, hogy a támadás kivitelezéséhez fizikai hozzáférés szükséges, amit egy átlagfelhasználói rendszerrel szemben többnyire nem érdemes megkockáztatni, az üzleti és a kormányzati rendszerek esetében azonban már teljesen más a helyzet. Az egyszeri fizikai hozzáférés mellett működő hálózati kapcsolat is szükséges a sikerhez.

Az üzleti felhasználók közül sokan használnak BitLocker adattitkosítást, ami a legfrissebb Windows 11 telepítések esetében már alapértelmezetten aktív is. A népszerű „Device Encryption” üzemmód esetében például jelszó alkalmazására sincs szükség, vagyis az adattitkosítást már azzal deaktiválni lehet, ha a normál felhasználói fiók használatával elindítják a Windows-t.

A hacker szerint a BitLocker adattitkosítás már egy jó ideje hibásan, sebezhetően működik, ennek hatására mind hardveres, mind pedig szoftveres szinten támadható, ráadásul sikerrel, így az adott adattárolón található tartalmakat meg lehet szerezni. A teljes videót itt tekinthetik meg az érdeklődők, amiben részletesen is szó esik az újfajta támadási formáról, illetve sok egyébről is, angol nyelven. A CCC Európa legnagyobb hacker-szövetsége, amely 7700 regisztrált taggal rendelkezik. E hackerek egy jó része már 1981 óta dolgozik azon, hogy szinten sebezhetőségeket keressenek, amelyek révén szinte bármit fel tudnak törni.