Beveiligingslek in Windows BitLocker blijft kwetsbaar na twee jaar

Elwin Hodžić
0

Twee jaar nadat een beveiligingslek naar verluidt was opgelost, blijkt het nog steeds mogelijk om dit lek te misbruiken om met BitLocker versleutelde harde schijven op Windows 11 te ontsleutelen.

Demonstratie van de aanval tijdens Chaos Communication Congress

Tijdens de Chaos Communication Congress toonde beveiligingsonderzoeker en hardware-hacker Thomas Lambertz (th0mas) in zijn presentatie “Windows BitLocker: Screwed without a Screwdriver” hoe BitLocker-beveiligde Windows 11-systemen via het netwerk kunnen worden ontsleuteld. Hiervoor is eenmalig fysieke toegang nodig om het apparaat in de herstelmodus te zetten en een netwerkkabel aan te sluiten. Het openen van het apparaat is daarbij niet vereist.


Op de hoogte blijven van al het IT-nieuws omtrent Windows, Linux, AI en meer?

Schrijf je in voor onze gratis wekelijse nieuwsbrief:

Ontvang elke week het laatste IT-nieuws, de handigste tips en speciale aanbiedingen.

De kwetsbaarheid: CVE-2023-21563 en bitpixie-aanvallen

Het misbruikte beveiligingslek, CVE-2023-21563, behoort tot de categorie bitpixie-aanvallen en is sinds de zomer van 2022 gedocumenteerd. Hoewel Microsoft beweert het probleem in november 2022 te hebben opgelost, blijkt dit niet volledig te kloppen. Lambertz demonstreerde hoe de kwetsbaarheid nog steeds kan worden uitgebuit via een downgrade-aanval.

Secure Boot-lek maakt ontsleuteling van BitLocker-gegevens mogelijk

BitLocker wordt standaard ingeschakeld bij nieuwe Windows 11-installaties via de optie “Apparaatversleuteling”. Hierbij wordt de harde schijf in ruststand versleuteld en automatisch ontsleuteld bij een legitieme opstart van Windows. Tijdens zijn presentatie demonstreerde Lambertz een aanval op een volledig bijgewerkt Windows 11-systeem. Hij maakte gebruik van Secure Boot om een verouderde Windows-bootloader te laden, die in de herstelmodus per ongeluk de versleutelingssleutel in het werkgeheugen achterlaat.

Met een aangepast Linux-systeem dat compatibel was met Secure Boot, kreeg Lambertz toegang tot het werkgeheugen. Vervolgens gebruikte hij een kwetsbaarheid in de Linux-kernel om de inhoud van het geheugen te lezen en de achtergebleven Volume Master Key van BitLocker te extraheren. Hiermee kon hij de versleutelde gegevens ontsleutelen zonder directe fysieke toegang tot de opslag.

Lambertz benadrukte dat Microsoft al geruime tijd op de hoogte is van dit probleem. Een structurele oplossing zou zijn om certificaten van kwetsbare bootloaders in te trekken, maar de opslagruimte in UEFI-firmware voor deze intrekkingen is beperkt. Microsoft plant vanaf 2026 de uitrol van nieuwe Secure Boot-certificaten, waarmee moederbordfabrikanten verplicht worden UEFI-updates door te voeren.

Bescherming tegen de bitpixie-aanval

Volledige bescherming tegen de bitpixie-kwetsbaarheid is momenteel alleen mogelijk door BitLocker te beveiligen met een gebruikers-PIN, hoewel deze optie afhankelijk is van de Windows-versie. Lambertz adviseert daarnaast om netwerkopties in het BIOS te deactiveren, omdat aanvallers de bitpixie-bug ook via USB-netwerkadapters kunnen misbruiken.

Andere aanvallen: faulTPM versus bitpixie

Eerder werd ook de faulTPM-aanval onthuld, die misbruik maakt van zwakke punten in AMD-processors om toegang te krijgen tot versleutelde gegevens, zoals BitLocker-sleutels. Deze aanval vereiste echter urenlange fysieke toegang. De nu gepresenteerde aanvalsmethode verkort de benodigde fysieke toegang aanzienlijk, wat het ontgrendelen van BitLocker-schijven eenvoudiger maakt.


Op de hoogte blijven van al het IT-nieuws omtrent Windows, Linux, AI en meer?

Schrijf je in voor onze gratis wekelijse nieuwsbrief:

Ontvang elke week het laatste IT-nieuws, de handigste tips en speciale aanbiedingen.

Deel dit artikel

Elwin Hodžić
Elwin Hodžić(Web)redacteur bij c't. Ondanks de studie geschiedenis, altijd al een passie gehad voor alles wat met IT te maken heeft. Sleutelt in zijn vrije tijd graag aan pc’s, van de hardware tot het uitpluizen van de BIOS-instellingen om een pc zo optimaal mogelijk te laten werken.

Lees ook

Asus kondigt een reeks aan nieuwe laptops aan op CES 2025

Asus introduceert tijdens de CES een hele reeks nieuwe laptops bestaande uit verschillende Vivobooks en een nieuwe ZenBook.

Nieuwe versie van de Raspberry Pi 5 mét 16 GB uitgebracht

De Raspberry Pi 5 is nu ook beschikbaar met 16 GB RAM, naast de varianten met 2, 4 of 8 GB. De meerprijs voor deze uitvoering van de meest recente Ras...

0 Praat mee
avatar
  Abonneer  
Laat het mij weten wanneer er