Il mondo della sicurezza informatica è in allerta dopo la recente scoperta di una nuova vulnerabilità che colpisce BitLocker, il sistema di crittografia delle unità di memoria di Microsoft. Questo nuovo exploit è stato presentato al pubblico in una dimostrazione organizzata dal Chaos Computer Club e si distacca dalle precedenti metodologie di attacco, utilizzando un metodo innovativo che sfrutta la rete locale per compromettere la sicurezza dei dati.
Indice dei contenuti
Come si manifesta l'attacco a BitLocker
Nel 2022, un ricercatore identificò una grave vulnerabilità che ha preso il nome di Bitpixie, con identificazione CVE-2023-21563. Questo problema concerne un difetto nel bootloader di Windows, in particolare nel flusso di ripristino tramite rete. Quando un sistema Windows avvia una sequenza di ripristino via PXE , le chiavi crittografiche necessarie per l'accesso ai dati non vengono completamente rimosse dalla memoria, rimanendo quindi esposte a potenziali aggressori. Questa situazione consente a chiunque riesca ad accedere fisicamente al dispositivo di ottenere la Volume Master Key , la chiave che permette di decifrare i dati memorizzati.
Procedura di exploit spiegata
La dimostrazione pubblica dell'attacco ha rivelato per la prima volta i passaggi necessari per sfruttare questa vulnerabilità. Gli aggressori devono poter accedere fisicamente al dispositivo e possedere l'abilità di utilizzare una connessione di rete, che può essere configurata attraverso un adattatore USB o una rete LAN. Gli attaccanti adottano una serie di passaggi che includono:
- Downgrade del bootloader: Gli aggressori usano una versione del boot manager di Windows precedente a novembre 2022, che presenta vulnerabilità note.
- Modifica del Boot Configuration Data : Si crea un percorso di ripristino che punti a un bootloader vulnerabile, aprendo la strada all’attacco.
- Avvio del sistema con kernel Linux: Utilizzando un kernel specifico, gli aggressori possono leggere la memoria fisica del dispositivo.
- Estrazione della chiave VMK: Una volta che il sistema è avviato, si cercano le chiavi crittografiche nel dump di memoria attraverso specifici pattern di ricerca.
- Decodifica dei dati: Utilizzando strumenti come dislocker o cryptsetup, gli aggressori possono accedere ai dati archiviati.
Dispositivi e configurazioni a rischio
La vulnerabilità attacca in particolare dispositivi che hanno attivato la funzionalità Secure Boot e che utilizzano BitLocker con opzione di sblocco automatico. Tuttavia, i sistemi che adottano un chip TPM e richiedono un PIN all'avvio rimangono protetti da questa minaccia. Gli esperti consigliano alcune misure di protezione, tra cui:
- Attivazione dell’autenticazione pre-boot: Impostare un PIN da inserire all'inizio del processo di avvio, per impedire accessi non autorizzati tramite TPM.
- Aggiornamento delle configurazioni PCR: Modificare i registri per evitare un downgrade del bootloader.
- Applicazione della patch KB5025885: Sostituire i certificati Secure Boot e aggiornare il bootloader a una versione corretta.
- Disabilitazione dell’avvio PXE: Se possibile, disattivare questa opzione per ridurre i vettori di attacco verificabili.
Considerazioni finali sulle misure di sicurezza
Sebbene disattivare l'avvio via PXE possa sembrare una misura efficace, gli esperti avvertono che potrebbe non bastare. Infatti, molti BIOS UEFI sono configurati per default per permettere l'avvio da adattatori USB, consentendo così a un aggressore di superare questa protezione semplicemente modificando le impostazioni di avvio. Mantenere la vigilanza e aggiornare costantemente le configurazioni di sicurezza rimane dunque una priorità fondamentale per chi gestisce dispositivi vulnerabili a questa nuova minaccia.
