نحوه دور زدن BitLocker در طول بروزرسانی ویندوز 10

نگاه دیگران
یک‌شنبه, 14 آذر 1395

اگر امنیت رایانه‌ی شما متکی به نرم‌افزار رمزنگاری درایو سخت BitLocker در ویندوز است، بیشتر مراقب باشید! بخاطر اینکه هرکسی با دسترسی فیزیکی به رایانه‌ی شما می‌تواند به پرونده‌های شما در عرض چند ثانیه دست یابد. تنها چیزی که مهاجم نیاز دارد نگه داشتن کلیدهای شیفت+F۱۰ در طول فرآیند به‌روزرسانی ویندوز ۱۰ است.

محقق امنیتی با نام سامی لای‌هو این روش ساده برای دور زدن BitLocker را کشف کرد. در این روش مهاجم می‌تواند در طول فرآیند به‌روزرسانی ویندوز ۱۰ با نگه داشتن کلیدهای شیفت+F۱۰ به یک واسط خط فرمان (CLI) با امتیازات ویژه دست یابد.

این واسط خط فرمان، دسترسی به کل درایو سامانه‌ی قربانی را به مهاجم اعطا می‌کند. این موضوع حتی زمانی‌که بر روی سامانه‌ی قربانی ویژگی رمزنگاری درایو BitLocker نیز فعال باشد، اتفاق می‌افتد.

لای‌هو توضیح داد که در فرآیند به‌روزرسانی ویندوز ۱۰، زمانی‌که تصویر جدید از ویندوز ۱۰ قرار است نصب شود، سامانه عامل، BitLocker را غیرفعال می‌کند. در طول این فرآیند کاربر می‌تواند برای عیب‌یابی کلیدهای شیفت+F۱۰ را فشار دهد که یک خط فرمان نمایش داده خواهد شد. متأسفانه در این شرایط به دلیل غیرفعال بودن BitLocker مهاجم می‌تواند به درایو، دسترسی کامل داشته باشد.

ویژگی شیفت+F۱۰ در نسخه‌های قبلی ویندوز نیز وجود داشت و در ویندوز ۷ و ۸ نیز با استفاده از آن می‌شد BitLocker را دور زد. اما وجود این اشکال در فرآیند به‌روزرسانی درجای ویندوز ۱۰، مشکل بسیار جدی‌تری محسوب می‌شود.

مهاجم فقط به دسترسی فیزیکی به سامانه‌ی قربانی برای مدت بسیار کوتاهی نیاز دارد تا BitLocker را دور زده و بر روی دستگاه دسترسی مدیریتی داشته باشد. این مسئله ممکن است دستگاه‌های اینترنت اشیاء که از ویندوز ۱۰ استفاده می‌کنند را نیز تحت تأثیر قرار دهد.

چرا این مسئله نگران‌کننده است؟ خیلی از افراد عادت دارند زمانی که سامانه عامل به‌روزرسانی می‌شود، رایانه‌ی خود را ترک کنند چرا که معمولاً به‌روزرسانی زمان زیادی طول می‌کشد.

در این بازه‌ی زمانی هر کسی می‌تواند پشت رایانه‌ی شما نشسته و از طریق یک خط فرمان با امتیازات ویژه، در حضور BitLocker عملیات خرابکارانه انجام دهد بدون اینکه به نرم‌افزار خاصی نیاز داشته باشد.

در یک سناریوی آزمایشی، لای‌هو این حمله را انجام داده است که ویدئوی آن را در لینک این محقق می‌توانید ببینید. لای‌هو وجود این مشکل را به مایکروسافت گزارش داده و این شرکت در تلاش است تا آن را برطرف کند.

چگونه خطرات این آسیب‌پذیری را کاهش دهیم؟

در قالب اقدامات پیشگیرانه، این محقق امنیتی توصیه کرده تا کاربران رایانه‌ی خود را در طول به‌روزرسانی سامانه عامل ترک نکنند.

او همچنین از کاربران خواسته تا از ویندوز ۱۰ LTSB استفاده کنند چرا که این نسخه از سامانه عامل به‌طور خودکار به‌روزرسانی نمی‌شود.

کاربران ویندوز ۱۰ که از مدیر پیکربندی مرکز سامانه۱ (SCCM) استفاده می‌کنند، می‌توانند دسترسی به واسط خط فرمان در طول به‌روزرسانی سامانه عامل را غیرفعال کنند. کاربران برای این کار کافی است پرونده‌ای با نام DisableCMDRequest.tag را به پوشه‌ی windir%\Setup\Scripts\% اضافه کنند.

برچسب‌ها سیستم عامل ,