Mircosofts Festplattenverschlüsselung Bitlocker lässt sich unkompliziert umgehen
Der Angriff funktioniert allerdings nur auf anderen mit der Domäne verbundenen Computern. Microsoft bietet inzwischen allerdings den Patch MS12-122 an. Er soll das Bitlocker-Problem beheben.
Die per Bitlocker bewerkstelligte Festplattenverschlüsselung eines Windows-Systems lässt sich offenbar in einigen Sekunden und selbst von wenig erfahrenen Nutzern aushebeln. Darauf hat jetzt Synopsys hingewiesen (PDF). Seit Dienstag ist für die Sicherheitslücke der Patch MS15-122 verfügbar, der die Schwachstelle in Microsofts Festplattenverschlüsselungstool Bitlocker schließen soll.
Bitlocker ist Teil der Ultimate- und Enterprise-Versionen von Windows Vista und Windows 7 und der Pro- und Enterprise-Versionen von Windows 8, 8.1 und 10. Auch mit Windows Server wird es seit Version 2008 ausgeliefert. Es soll durch die vollständige Laufwerksverschlüsselung verhindern, dass sich Unbefugte Zugang zu Daten auf dem Rechner verschaffen.
Synopsis-Mitarbeiter Ian Haken beschreibt nun jedoch eine relativ einfache Methode, wie sich Bitlocker deaktivieren lässt, wenn der Rechner, der angegriffen werden soll, mit einer Domäne verbunden ist. Dazu reicht es aus, diese Verbindung zu trennen. Dann nutzt der Computer für die Anmeldung das in einem lokalen Zwischenspeicher abgelegte Passwort.
Dieses zwischengespeicherte Passwort lässt sich laut Haken ändern, ohne dass man dazu das ursprüngliche Passwort kennen muss. Dafür wird einfach eine gefälschte Domain mit demselben Namen sowie ein Nutzerkonto mit einem bereits vor Jahren angelegten Passwort eingerichtet. Sofern auf dem Rechner eine Richtlinie für ein Höchstalter des Passworts festgelegt ist, fordert das System den Nutzer auf, ein neues Passwort zu hinterlegen. Dabei wird das alte Kennwort nicht abgefragt. Danach kann sich der Nutzer auch ohne Verbindung zur Domäne mit dem neuen Passwort anmelden, wodurch auch die Datein auf dem Laufwerk entschlüsselt werden. Damit sei es möglich, Bitlocker innerhalb weniger Sekunden abzuschalten, erklärt Haken.
Microsoft bezeichnet den in der vergangenen Woche veröffentlichten Patch MS15-122 als “Sicherheits-Update für Kerberos zum Unterbinden einer Umgehung von Sicherheitsfunktionen”. Der Beschreibung des Patches zufolge funktioniert der von Haken entwickelte Angriff allerdings nur dann, wenn Bitlocker “auf dem Zielsystem ohne PIN oder USB-Schlüssel aktiviert wurde”.
Haken erklärte gegenüber Computerworld jedoch, die Preboot-Authentifizierung mit PIN oder USB-Schlüssel werde gerade in Firmen nur selten verwendet. Grund sei, dass sie die Wartung von PCs aus der Ferne erschwere. Microsoft räumt in seiner eigenen Dokumentation ebenfalls ein, dass die Authentifizierung vor dem Start des Betriebssystems in “der modernen IT-Welt, in der Nutzer erwarten, dass ihre Geräte sofort starten, und die IT konstant mit dem Netzwerk verbundene PCs verlangt, inakzeptabel” ist.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.