Windows 10-lek laat aanvaller BitLocker omzeilen en beheerdersrechten verkrijgen

Windows-expert Sami Laiho schrijft dat hij een lek in Windows 10 heeft gevonden dat een lokale aanvaller BitLocker-versleuteling laat omzeilen en beheerderstoegang laat verkrijgen. Microsoft heeft inmiddels een patch uitgebracht.

Laiho meldt op zijn blog dat zijn methode te maken heeft met zogenaamde 'feature updates' van Windows 10, waar bijvoorbeeld de Anniversary Update en updates naar nieuwe Insider-builds onder vallen. Deze updates worden doorgevoerd door een image aan te maken en deze te installeren met de 'pre-installation environment' van Windows, aldus Laiho. Tijdens dit proces is het mogelijk om via de al bekende toetsencombinatie shift en f10 bij de opdrachtprompt te komen. Op deze manier kan een aanvaller bij de bestanden op de harde schijf, die normaal gesproken door BitLocker zijn versleuteld. Daarnaast geeft deze methode toegang op System-niveau, dat alleen voor beheerders is bedoeld.

In een bijbehorende video op het blog laat Laiho met een voorbeeld zien hoe hij tijdens de update het commando voor plaktoetsen, sethc.exe, vervangt door de opdrachtprompt. Daardoor kan hij voor het inloggen op zijn beperkte account toegang krijgen tot een opdrachtprompt met beheerdersrechten door vijf keer shift in te drukken. Dat is normaal gesproken de manier om plaktoetsen te activeren. Zo kan hij zijn account aan de lokale beheerders toevoegen.

Volgens Laiho is de methode te gebruiken door een aanvaller die alleen op de volgende update hoeft te wachten of toegang moet krijgen tot het Insider-programma. Hij stelt dat gebruik van het lek voorkomen kan worden door geen onbeheerde updates uit te voeren en de Insiders 'goed in de gaten te houden'. Een andere mogelijkheid is het gebruik van een ltsb-versie van Windows. Dit lijkt echter niet de meest werkbare optie, doordat deze versie bepaalde beperkingen kent. Laiho stelt dat deze methode vanaf Windows 7 zou moeten werken, maar dat de 'in-place' manier van updaten bij die versie niet voorkomt.

Reacties (54)

Terrestrial 29 november 2016 11:41

Wacht, ik heb het filmpje net gekeken maar begrijp ik het nu goed dat windows tijdens het updaten bitlocker uitschakelt op de C: schijf?

Als dat gebeurt is de rest niet eens relevant want dat is een enorm probleem op zichzelf.

Tozz @Terrestrial • 29 november 2016 13:47

Inderdaad. Ik snap niet dat niemand daar meer over struikelt. Blijkbaar kan Windows een BitLocker drive zelf disablen zonder iets van input van een user.

Dat maakt BitLocker eigenlijk compleet zinloos, want dan zit er blijkbaar een backdoor in die wordt toegepast bij Windows Updates. Als Windows Update het kan, dan kan iemand anders het ook.

Armin

Netwerk en systeembeheer
Security

@Tozz • 29 november 2016 18:38

Meeste posters missen het kernpunt van deze zwakheid.

Dat maakt BitLocker eigenlijk compleet zinloos, want dan zit er blijkbaar een backdoor in die wordt toegepast bij Windows Updates. Als Windows Update het kan, dan kan iemand anders het ook.

Geen backdoor, maar gewoon een publieke systeem API die met admin rechten aangeroepen kan worden. Dat is nodig om critieke systeembestanden te kunnen updaten. Anders zou secure boot, na eerste herstart na de update, de drive locken en ben je al je data kwijt (want versleuteld, maar key is weg) tenzij je een backup key had aangemaakt.

Dat is waar het hier om gaat: secure boot, niet bitlocker. Bitlocker wordt namelijk technisch gezien niet uitgezet, want de drive blijft de hele tijd encrypted. De TPM en daarmee diens sleutel wordt uitgezet - en dat moet dus ook anders kun je niet udaten. De TPM immers regelt de secure boot.

Bitlocker is ook enkel bedoeld voor de 'disk in rust'. Het sleutelbeheer van de encryptie van Bitlocker kan op verschillende wijzen geregeld worden. Wanneer je sleutelbeheer door de TPM laat doen, is deze zwakheid echter van toepassing. Immers bij een normale boot wordt de key ook automatisch vanuit de TPM uitgewisseld, maar is er voor een gebruiker geen mogelijkheid iets te doen totdat later bij het inlog scherm ingelogd wordt.

De zwakheid zit hem in de command prompt die opgeroepen kan worden zonder usernaam/wachtwoord op te geven. De fix van Microsoft is dan ook deze command prompt niet meer mogelijk te maken.

Ander oplossingen zijn waarschijnlijk de TPM met PIN beveiligen (tenzij dat ook uitgezet wordt), met group policy de automatsiche suspend van de TPM bij upgrade uitschakelen of Bitlocker zonder TPM gebruiken (passphrase of USB-key). Ikzelf gebruik met passphrase, en dan krijg je bij elke reboot een wachtwoord voor je kiezen. Vreselijk vervelend als je remote werkt en je systeem reboot $_/-\o_$ vandaar ook dat deze TPM-suspend methode bestaat.

Samengevat:
- de TPM secure boot wordt uitgezet tijdens een upgrade boot - hetgeen op zichzelf geen bug is maar noodzakelijk kwaad. Via group policy kun je dat als gebruiker uitzetten.
- tijdens deze eenmalige upgrade boot kan een command prompt opgeropen woren - en dat is de bug.

Wasrek @Armin • 29 november 2016 19:09

Tijdens een upgrade restart kan ik hier nog inkomen. Gebeurt dit ook als je kiest voor "install updates and shut down"? Dan wordt het updaten pas afgemaakt tijdens de volgende boot. Ik mag toch hopen dat de laptop tussendoor beveiligd is.. Of op zijn minst een waarschuwing geeft.

Armin

Netwerk en systeembeheer
Security

@Wasrek • 29 november 2016 19:29

Tijdens een upgrade restart kan ik hier nog inkomen. Gebeurt dit ook als je kiest voor "install updates and shut down"?

Hangt van de soort update af. Meeste updates vereisen geen aanpassing van kritieke bootbestanden, en dus geen suspend van de TPM. De TPM wordt enkel suspend, indien dat nodig is. Hangt dus van de update af.

Maar als de update wel een kritiek bootbestand of bootconfiguratie aanpast is er geen andere optie. Immers secure boot, moet geherinitialiseerd worden.

Wat dus gebeurd is dit:
- de computer suspend de TPM en herstart
- de update stack past de kritieke bootbestanden aan, en herstart opnieuw
- de TPM auto-locked weer.

Daarom moeten we ook wel besfefen dat de 'vrije periode' enkel bestaat tijdens de korte periode van die twee herstarten. Deze aanval is dus niet erg praktisch.

Plus zoals gezegd, enkel mogelijk omdat er een bug zit in een hele specifieke vorm van updates, namelijk de 'reimaging' updates. Niet elke update is zo'n update. Enkel tijdens die vorm van updates kun je de command prompt oproepen.

Dasprive @Tozz • 29 november 2016 16:06

Als je fysiek toegang hebt tot de PC zodat je het toetsje in kunt duwen en precies er achter zit wanneer die PC updates doet wel ja.

Blijft natuurlijk een kwetsbaarheid, maar moeten het niet overdrijven.

Gedroomde feature eigenlijk: naar je scherm staren als ie update is niet langer gratis niksen onder de baas z'n tijd maar een 'security requirement'.

[Reactie gewijzigd door Dasprive op 23 juli 2024 04:15]

Fiander @Dasprive • 29 november 2016 16:30

Je bedoelt dat wanneer ik mijn gegevens op een gebitlockde laptop heb staan, en deze word gestolen, ik mij geen zorgen hoef te maken? ik vind dat niet overdrijven hoor.

Gelukkig dat het gepatched is.

The Zep Man

Netwerk en systeembeheer
Security
Microsoft Windows
Microsoft

@Terrestrial • 29 november 2016 11:45

Wacht, ik heb het filmpje net gekeken maar begrijp ik het nu goed dat windows tijdens het updaten bitlocker uitschakelt op de C: schijf?

BitLocker wordt mogelijk 'suspended', ofwel tijdelijk uitgeschakeld. Als dit wordt gedaan, dan vermoed ik dat de motivatie is omdat de update eigenlijk buiten de reguliere Windows omgeving wordt doorgevoerd (zeg maar in Windows PE, of hoe ze dat nu noemen).

Die moet voor het uitvoeren van de updates wel toegang hebben tot de systeemschijf, en dat kan alleen als BitLocker suspended is of wanneer de recovery key (een 160 bit waarde gerepresenteerd in getallen) wordt opgegeven. BitLocker zou in deze situatie suspended moeten zijn, omdat een alternatieve instantie van het OS geboot wordt waardoor de PCR waardes in de TPM anders zijn, waardoor BitLocker niet het benodigde sleutelmateriaal kan verkrijgen.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 15:06]

Bor Coördinator Frontpage Admins / FP Powermod

Security

@The Zep Man • 29 november 2016 12:31

BitLocker wordt mogelijk 'suspended', ofwel tijdelijk uitgeschakeld.

Dat is al een probleem op zich. Supspenden zou alleen mogelijk moeten zijn na goedkeuring en opgeven van credentials van de eigenaar van het systeem. Het suspenden van encryptie of het vrijgeven van encrpypted data zou nooit door een geautomatiseerd proces mogen plaatsvinden. Een van de redenen zie je nu in dit geval.

Anoniem: 420148 @Bor • 29 november 2016 12:38

De update kan enkel triggered worden vanuit Windows, op dat moment heb je de schijf al unlocked. Natuurlijk zal de schijf tijdens een herstart dan even niet locked moeten zijn om updates door te voeren. Hoe zie je dat anders voor je?

Bor Coördinator Frontpage Admins / FP Powermod

Security

@Anoniem: 420148 • 29 november 2016 12:41

Dit zou je kunnen oplossen door de gebruiker duidelijk op de hoogte te stellen van het feit dat de Bitlocker beveiliging tijdelijk suspended moet zijn voor de upgrade of bij het booten te vragen om credentials om Bitlocker te suspenden / unlocken.

Armin

Netwerk en systeembeheer
Security

@Terrestrial • 29 november 2016 18:25

Juist de enige optie is de laatste optie. Gewoon om credentials vragen en bevestiging.

Dat wordt ook gedaan, alleen bij Bitlocker zijn er verschillende methoden om de key te beveiligen. Eén daarvan is via TPM. Deze aanval werkt enkel via deze methode, en dan nog enkel indien de TPM geen PIN heeft. TPM met PIN, Bitlocker met passphrase of USB-key unlock voor Bitlocker zijn gewoon veilig.

Als jij een met TPM beveiligde PC herstart, wordt je pas om een password gevraagd bij het inloggen in Windows. De TPM kan echter bovendien suspended worden, tenzij de administrator dat met group policy uitgezet heeft. Bitlocker zelf echter blijft actief, enkel de TPM key is niet langer beschermd.

De zwakheid zit hem dan ook niet in Bitlocker uitzetten, maar de command prompt die opgeroepen kan worden tijdens de upgrade.

Ultra @The Zep Man • 29 november 2016 12:51

Inderdaad, daarom werken upgrades ook niet lekker met andere FDE-producten dan BitLocker. Tenzij ze ook een (automatische) suspend ipv een volledig decrypt/encrypt cycle hebben.

[Reactie gewijzigd door Ultra op 23 juli 2024 04:15]

Franckey @Terrestrial • 29 november 2016 21:21

Wacht, ik heb het filmpje net gekeken maar begrijp ik het nu goed dat windows tijdens het updaten bitlocker uitschakelt op de C: schijf?

Klopt. Ik heb daar een keer een melding van Windows over gezien. Dat gebeurt dus niet zonder dat je dat kunt weten.

In de melding stond iets van dat je ervoor moet zorgen dat niemand anders fysiek toegang heeft tot je systeem tijdens de update omdat bitlocker tijdelijk wordt uitgeschakeld.

SinergyX

Microsoft

29 november 2016 11:12

Filmpje was van korte duur:
Sorry
Because of its privacy settings, this video cannot be played here.

Volgens Laiho is de methode te gebruiken door een aanvaller die alleen op de volgende update hoeft te wachten of toegang moet krijgen tot het Insider-programma

En vervolgens op het juiste timeframe de aanval moet uitvoeren, te vroeg is er geen image, te laat en de update is gedaan.

Maar waarom zit er eigenlijk geen checksum op de hele Win directory? sethc.exe vervangen door commandprompt zou toch een checksum fout moeten geven?

Beunhaas91 @SinergyX • 29 november 2016 11:14

Je kunt via deze link het filmpje kijken.

Jan_Klaassen768 @SinergyX • 29 november 2016 11:15

Maar waarom zit er eigenlijk geen checksum op de hele Win directory? sethc.exe vervangen door commandprompt zou toch een checksum fout moeten geven?

Misschien is dat wel de patch.

Wat ik me gelijk af vroeg:
"Werkt dit ook met een iso based upgrade via usb van bijv. 1511 naar 1607?"

Dan wordt het nl. een veel grotere bedreiging, Nu met de aanvaller nog wachten op een feature update en op het juiste moment op de juiste plek zijn.

[Reactie gewijzigd door Jan_Klaassen768 op 23 juli 2024 04:15]

Beunhaas91 @Jan_Klaassen768 • 29 november 2016 11:24

Voor zover ik weet kan dat niet, je krijgt dan een upgrade zoals op dit plaatje.
Je zit dan niet 'in' Windows, iets wat met de huidige exploit wel het geval is.

[Reactie gewijzigd door Beunhaas91 op 23 juli 2024 04:15]

HKLM_

Microsoft Windows

@Jan_Klaassen768 • 29 november 2016 11:34

Mochten ze dit gaan patchen dan kan de manier om in geval van nood je local user password te resetten ook de prullenbak in. Dit werk eigenlijk precies het zelfde, door de sethc.exe te vervangen door CMD en na het opstarten kan je dan de local user aanmaken of wijzigen.

Lijkt me eigenlijk ook wel een security issue maar is in sommige gevallen zeer handig

Razwer @HKLM_ • 29 november 2016 12:15

het is al jaren een security issue. Iets wat bitlocker "gelukkig" als workaround oplost. Kwalijke zaak dat het dus weer kan tijdens feature updates.
Ik gebruik overigens geen sethc.exe maar magnify.exe

Resultaat blijft hetzelfde.

freaky @HKLM_ • 29 november 2016 12:46

Dat is 1 van de 2 gangbare methodes. De andere is nt offline password reset, een linux tooltje dat de SAM rechtstreeks bewerkt.

Iemand met fysieke toegang en voldoende kennis van zaken toegang ontzeggen is vrij lastig, zo niet onmogelijk. Kunt het hooguit afvangen met encryptie zoals bitlocker.

TunefulDJ_Mike @HKLM_ • 29 november 2016 11:51

Op zich is dit geen security issue wanneer je bitlocker activeert werkt deze methode niet meer (mits bitlocker natuurlijk goed is geïmplementeerd)..

Teijgetje @HKLM_ • 29 november 2016 14:39

Mochten ze dit gaan patchen.....

In de tweede zin staat;
"Microsoft heeft inmiddels een patch uitgebracht."...........

Het artikel is imo dan ook een beetje gebiast cq clickbait, een juiste kop zou zijn "Windows 10-lek liet aanvaller BitLocker omzeilen en beheerdersrechten verkrijgen"

Net zoals Google zijn Pixel inmiddels heeft gedicht van een gevaarlijk lek, die was met een tekstbericht verzenden simpel over te nemen. Vind ik overigens niets over terug hier op Tweakers en leek me een groter gevaarlijker noemenswaardiger lek dan het hierboven beschreven.....

[Reactie gewijzigd door Teijgetje op 23 juli 2024 04:15]

Mel33 29 november 2016 11:45

Ja ik zag dit ook al eerder langskomen in een topick hier op tweakers
ik vind het zowiezo al vreemd dat je met een windows dvd opstart en dan de shift f10 command de toegankelijkheidopties kan vervangen door cmd.exe comando
Dat vond ik al apart dat dit zomaar kon, en nu blijkt ook nog eens dat je bitlocker kan omzeilen op deze manier.

MClaeys @Mel33 • 29 november 2016 12:31

Met shift f10 kan je aan cmd.exe, maar als bitlocker actief is ga je daar niet veel op gedaan krijgen natuurlijk. Wel als je de key hebt, dan kan je met cmd bitlocker deactiveren of pauzeren en heb je volle toegang.

[Reactie gewijzigd door MClaeys op 23 juli 2024 04:15]

hackerhater @MClaeys • 29 november 2016 16:30

Wat ik raarder vind is dat bitlocker uberhaupt gepauzeerd kan worden.
Encryptie hoort maar 2 standen te hebben : actief of niet actief.

MClaeys @hackerhater • 29 november 2016 18:50

Uitzetten = decrypten. Dat wil je niet bij elke hardwarechange gaan uitvoeren of als je zaken wil doen met cmd voor Windows geboot is. De pauzestand gaat ook bij het opstarten weer uit. Waarom hij op pauze moet voor updates is dan weer een andere vraag.
Edit: Dank voor de duidelijkere uitleg hieronder R4gnax, ik had het blijkbaar fout opgevat

[Reactie gewijzigd door MClaeys op 23 juli 2024 04:15]

R4gnax @MClaeys • 29 november 2016 20:07

Uitzetten = decrypten. Dat wil je niet bij elke hardwarechange gaan uitvoeren of als je zaken wil doen met cmd voor Windows geboot is. De pauzestand gaat ook bij het opstarten weer uit. Waarom hij op pauze moet voor updates is dan weer een andere vraag.

Nee. Bitlocker wordt helemaal niet uitgezet; gepauzeerd; of wat dan ook.

Om te begrijpen wat er hier dan wel gebeurt, moet je beginnen bij de Trusted Platform Module (TPM). Dat is een fysiek stukje hardware op je moederbord waarin collecties beveiligingssleutels opgeslagen liggen die met behulp van één of meerdere meestersleutels uit de module opgehaald kunnen worden. Een soort hardware-matige password manager, als je het simpel wilt zien.

Wanneer Windows voor een update bepaalde boot bestanden aan moet passen, moet het Bitlocker actief hebben voor het punt dat het OS normaliter de TPM aan kan spreken om de sleutels voor Bitlocker te ontsluiten.

Om dit dan toch te bewerkstelligen wordt er voordat de machine herstart wordt, vanuit de reeds geauthoriseerde toestand, een commando naar de TPM gestuurd om tijdelijk het gebruik van de meestersleutel waar de Bitlocker key achter ligt, voor één boot-cyclus uit te schakelen.

Daardoor kan de software update op het moment direct na reboot vrijelijk de Bitlocker sleutels gebruiken; ongehinderd Bitlocker activeren en de benodigde bootbestanden aanpassen. Hierna reboot de update software automatisch het systeem en heractiveert de TPM zichzelf weer.

Het probleem nu, is dat Microsoft een gaatje open gelaten heeft om tijdens dat ene zeer kritieke moment waar de TPM 'in z'n vrij staat', een commando prompt open te gooien met volle systeemrechten en - omdat Bitlocker dus gewoon aan staat en zijn werk doet - een compleet toegankelijke harde schijf.

[Reactie gewijzigd door R4gnax op 23 juli 2024 04:15]

The Zep Man

Netwerk en systeembeheer
Security
Microsoft Windows
Microsoft

@Mel33 • 29 november 2016 11:51

ik vind het zowiezo al vreemd dat je met een windows dvd opstart en dan de shift f10 command de toegankelijkheidopties kan vervangen door cmd.exe comando

Als je een Windows (of zelfs Linux) installatie van DVD/USB opstart (of zelfs vanaf HDD) dan heb je in principe 'god mode' als de systeemschijf niet encrypted is. Dat geldt ook voor malware. Zo kan je bijvoorbeeld lokale wachtwoorden resetten.

Dat vond ik al apart dat dit zomaar kon, en nu blijkt ook nog eens dat je bitlocker kan omzeilen op deze manier.

BitLocker wordt door Microsoft tijdelijk uitgeschakeld om deze grote updates te draaien. Je zou als aanvaller ook de nog te booten alternatieve Windows instantie volledig kunnen vervangen op dit moment. BitLocker wordt toch uitgeschakeld voor de eerstvolgende boot.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 04:15]

Mel33 @The Zep Man • 29 november 2016 12:02

Ja is toch vreemd dat dat zo maar kan eigenlijk, en dan bedoel ik toegang krijgen op een OS Andersom kan het niet dacht ik, of wat geloof ik ook niet kan is met een lunux dvd op een linuxOS een godmode verkrijgen. tenminste dat zou toch niet moeten kunnen in de basis van een veilig OS.

Edit; Op reactie hieronder @borft @gekkie;

Ik ken al die opties ook, het is om het systeem te repareren enz en om mensen die het ww kwijt zijn te helpen, ik snap ook dat de gemiddelde gebruiker het niet weet, en een handige jaap het wel weet.
Waar het mij omgaat dat wij er eigenlijk niet heet of koud van worden dat een pc zo toegankelijk is als je hem fysiek in handen hebt

Er zou (vind ik) als je een pc fixt, alleen door de gebruiker zelf bepaalde toegangs- mogelijkheden moeten gegeven worden. (bijv op de manier hoe je een email ww kan herstellen door zoveel mogelijk kloppende info te versturen, en dan pas geaccordeerd word voor een ww wijziging.
Ik snap wel dat wij makkelijk toegang willen om de boel te fixen bijvoorbeeld, maar het is natuurlijk niet normaal dat je er zo bij kan.
De update zou ook gewoon versleuteld moeten zijn, en dan pas doorgevoerd moeten worden op moment dat je geïdentificeerd bent als de juiste.

Wat ik zeg is eigenlijk dat wij het als tweakers logies vinden dat we erbij kunnen. Wij zien het gemak en nemen onze beveiligings maatregelen, maar zo moet het voor me opa en oma logies zijn dat dit allemaal goed dicht zit. en dat is dus niet zo

Vanuit ons gezien moeten wij het omdraaien, wij zien dit over het hoofd
Snap je wat ik bedoel

[Reactie gewijzigd door Mel33 op 23 juli 2024 04:15]

gekkie @Mel33 • 29 november 2016 12:16

Achja de meesten weten niet dat dat windows login scherm er voornamelijk voor de huishoudster zit (in geval van niet encrypte schijven).

Maar hoe bitlocker uitgeschakeld kan worden en je kennelijk toch op een met bitlocker geencrypte disk kan gaat me dan echt te boven. Tenzij alle keys in de TPM zitten er je hier geen key voor hoeft in te voeren tijdens booten.

[Reactie gewijzigd door gekkie op 23 juli 2024 04:15]

Bor Coördinator Frontpage Admins / FP Powermod

Security

@gekkie • 29 november 2016 12:32

Tenzij alle keys in de TPM zitten er je hier geen key voor hoeft in te voeren tijdens booten.

Dat is het geval. Wanneer je geen TPM gebruikt moet je voor het booten al een key invoeren, ook tijdens updates.

gekkie @Bor • 29 november 2016 12:42

Ahha het kan dus wel (neem aan dat als je wel een TPM hebt, je het als nog niet hoeft te gebruiken in combi met bitlocker).

Maar goed ergens moet er als gebruiker toch een lampje gaan branden dat als je geen password (of key die je anderzins niet altijd in je systeem hebt zitten), dat het dan schijnveiligheid is (al klinkt het natuurlijk wel verleidelijk, nooit lastig gevallen worden voor een password of key).

borft @Mel33 • 29 november 2016 12:12

Als je van een alternatief medium boot, heb je in principe volledige toegang tot de machine (immers, je kunt zelf kiezen wat je boot). Oftewel, je zou een linux live CD kunnen booten, en dan heb je gewoon root rechten. De vraag is echter, wat de impact hiervan is. Dat hangt af van de configuratie van je systeem.

Er zijn natuurlijk wat maatregelen die je kunt nemen:
- sta booten van alternatieve media niet toe
- beveilig je bios, bv met een wachtwoord
- versleutel je data

Echter, als je besturingssysteem je versleuteling uit kan zetten tijdens een update, en ook nog een shell met elevated privileges geeft, dan houdt het natuurlijk rap op.

hackerhater @borft • 29 november 2016 16:27

Dat laatste is het meest laakbaar.
Als ik mijn Linux-machine moet rebooten voor een update (kernel), staat LUKS toch echt te wachten met een wachtwoord-prompt.

dcm360

@Mel33 • 29 november 2016 12:18

Met Linux kan dat net zo goed. Na het booten van een dvd (of usb-stick) is het bijna triviaal om wachtwoorden op een geïnstalleerd systeem aan te passen. Als de schijf echter beveiligd is met luks gaat dat niet, dan is de schijf beveiligd op een manier waar niet omheen te werken valt. Maar zonder luks kan het wel in drie commando's.

hackerhater @dcm360 • 29 november 2016 16:28

Wel wat meer dan 3 commando's, maar inderdaad dat kan door de omgeving te chrooten vanaf een live-cd.
zo heb ik me wel eens naar binnen gehacked op machines waar ze het root-wachtwoord van kwijt waren.
Als de schijf versleuteld is kan dit alsnog, maar moet je eerst het encryptie-wachtwoord op geven

[Reactie gewijzigd door hackerhater op 23 juli 2024 04:15]

dcm360

@hackerhater • 29 november 2016 16:34

Volgens mij zou het met mount, chroot, passwd moeten werken, en dan heb je er 3

Bij een onbekend systeem komt er wellicht nog een lsblk bij om uit te zoeken wat er aan mount meegegeven moet worden, maar dat is het dan wel.

hackerhater @dcm360 • 29 november 2016 16:38

mount, cd , evt chroot-prepare, chroot,passwd,exit

5 of 6 commando's minimaal

dcm360

@hackerhater • 29 november 2016 16:42

Als we het netjes doen kan er ook nog wel een umount achteraan

Vanwaar eigenlijk de cd en chroot-prepare? Die laatste bestaat op mijn systeem niet...

hackerhater @dcm360 • 29 november 2016 16:46

voor de chroot moet je wel in de juiste dir staan

Vandaar de cd

chroot-prepare is een commando wat sommige distro's (oa centOS) hebben om de boel gereed te maken voor een chroot-omgeving.
Maar strikt gezien is het niet nodig.

Voor een rescue unmount ik niet gezien het volgende commando shutdown -r now is

dcm360

@hackerhater • 29 november 2016 16:49

Dat eerste hoeft dus niet, want het is ook mogelijk om een pad mee te geven aan chroot. Of we gebruiken een ander smaakje chroot

hackerhater @dcm360 • 29 november 2016 16:54

Oke dat zou kunnen, ik heb geleerd altijd erheen te gaan

Minder foutgevoelig.

[Reactie gewijzigd door hackerhater op 23 juli 2024 04:15]

ExtendedCaesar @Mel33 • 29 november 2016 17:20

Dat valt wel mee! Van wat ik begrijp, moet je eerst de update uitvoeren, waarna hij opnieuw opstart, dan pas was het mogelijk deze exploit toe te passen.

Voordat je die update kunt uitvoeren, heb je bitlocker al ontsleuteld. Wanneer je dan als gebruiken (die al toegang had tot de gelockte schijf) opnieuw opstart in verband met een update, snap ik best dat Windows mag zeggen dat Bitlocker bij de eerstvolgende boot uit staat.

Als je het ding afsluit, en een cold boot doet, heft dit dus geen effect.

Berlinetta @The Zep Man • 29 november 2016 13:36

BitLocker wordt door Microsoft tijdelijk uitgeschakeld om deze grote updates te draaien. Je zou als aanvaller ook de nog te booten alternatieve Windows instantie volledig kunnen vervangen op dit moment. BitLocker wordt toch uitgeschakeld voor de eerstvolgende boot.

Volgens mij is dit moeilijk te omzeilen, de laptops die met Windows 10 worden geleverd hebben standaard secureboot aan staan.

Corrigeer mij maar als het nodig is.

[Reactie gewijzigd door Berlinetta op 23 juli 2024 04:15]

Armin

Netwerk en systeembeheer
Security

@Mel33 • 29 november 2016 18:44

Dat vond ik al apart dat dit zomaar kon, en nu blijkt ook nog eens dat je bitlocker kan omzeilen op deze manier.

Nee, niet op deze manier. Enkel indien de TPM 'suspended' is. Immers zou je met een DVD/USB stick of zo starten, zou de drive gewoon Bitlocker encrypted zijn.

Bitlocker wordt dus ook niet echt omzeilt, maar Bitlocker is reeds tijdelijk effectief uitgezet omdat de TPM suspended is en dus diens key 'vrij'. De aanval werk dus niet als er geen TPM is, want dan is de enige key de passphrase, USB of backup key, welke alle niet 'vrij' zijn.

En volgens mij werkt het ook niet als er een PIN op de TPM zet, maar dat laatste weet ik niet zeker. Ik weet niet meer of bij 'suspenden' van de TPM de PIN ook uitgezet wordt. Zo niet, is ook dat een simpele methode. Ik herrinnerde mij dat de PIN-lock net zoals de TPM-suspend zelf, via group policy te regelen is, maar ik laat me graag corrigeren.

dehardstyler 29 november 2016 12:28

In een bijbehorende video op het blog laat Laiho met een voorbeeld zien hoe hij tijdens de update het commando voor plaktoetsen, sethc.exe, vervangt voor de opdrachtprompt. Daardoor kan hij voor het inloggen op zijn beperkte account toegang krijgen tot een opdrachtprompt met beheerdersrechten door vijf keer shift in te drukken. Dat is normaal gesproken de manier om plaktoetsen te activeren. Zo kan hij zijn account aan de lokale beheerders toevoegen.

Dit is echt precies hetzelfde, als wat bij Windows 7 mogelijk was. Dit is nu nog steeds mogelijk, als Bitlocker uit staat. Ook werkt dit in domein omgevingen (Enterprise). Zelfs als Ctrl alt Delete geactiveerd is!

Trommelrem 29 november 2016 13:17

In het Windows XP tijdperk kon je tijdens de installatie Shift-F10 gebruiken om sol.exe (dat kaartspelletje) te starten, zodat je tijdens de installatie iets te doen had!

Opzich kun je deze issue makkelijk tegengaan door in je patchmanagement of je WSUS de upgrades te blokkeren. Zolang de user geen adminrechten heeft, dan kan er ook geen installatie plaatsvinden. Echter, in sommige gevallen kunnen users wel upgrades doen vanuit Windows Update, en dan zit je alsnog met het Shift-F10 probleem.

[Reactie gewijzigd door Trommelrem op 23 juli 2024 04:15]

Fastfreddy666 29 november 2016 20:01

Een work-around is om een ATA password in te stellen voor je SSD in de Bios/Uefi. Intel SSDs vanaf de 320 serie (2011) hebben al ingebouwde hardware encryptie (AES) die geactiveerd wordt als je een password instelt. Ik heb zelf een oude HP 8470P uit 2012 (stokoud dus) die een Intel 520 SSD heeft.

Lees dit: https://communities.intel.com/message/120161#120161

Moderne SSDs (wie gebruikt er nog een harddisk als systeemschijf?) hebben dit allemaal.
Zelfs de goedkope consumenten SSDs zoals die van Samsung en Crucial hebben al AES256 hardware encryptie. Ik heb zelf een samsung 840 Pro in mijn desktop en samsung stelt op de betreffende product pagina:

"Keep your data safe with Self-Encrypting Drive (SED) Technology Simply enable an HDD password via your computer’s BIOS, and Samsung’s SSD 840 applies data encryption automatically."

Vanaf windows 8 gebruikt Microsoft de hardware encryptie van de drives voor bitlocker. een TPM is niet nodig om bitlocker te gebruiken. De TPM maakt een "single sign in" mogelijk die het intypen van het harddisk/SSD password omzeilt. en het dus gemakkelijker maakt voor de gebruiker en voor systeembeheerders die remote toegang willen hebben tot je pc om updates te doen. Als je geen TPM hebt moet je het password weten. Schakel gewoon bitlocker uit en stel een password voor je SSD in in de bios. Dit heeft ook het voordeel dat het OS onafhankelijk is en dus ook werkt op Unix achtige systemen. Nu is het wel zo dat oude UEFI's zo lek zijn als een mandje. Het is dus raadzaam altijd de nieuwste versie te installeren.

[Reactie gewijzigd door Fastfreddy666 op 23 juli 2024 04:15]

Yolo 29 november 2016 17:55

Dit lijkt wel heel erg op die oude methode, in Windows 2003 en vorige versies, waarin je screensvr.exe of .com verving met een cmd.exe. Kwestie van wachten tot de screensaver aanging en je had root access

dehardstyler @Yolo • 29 november 2016 18:26

Ze leren er totaal niet van, heel raar. In Windows 7 werkt het namelijk bijna precies hetzelfde als de Windows 10 versie. Bij Windows 10 alleen tijdens een upgrade, in Windows 7 eigenlijk altijd behalve met Bitlocker aan. En het zat dus zelfs al een soort van in Windows 2003!

Mr-Famous 30 november 2016 09:19

Er is inmiddels een patch uitgebracht maar om welke patchnummer gaat dit? Iemand enig idee?

SnijtraM 30 november 2016 21:47

Kunnen ze ook iets aan de naam "plaktoetsen" doen? Er komen van die prachtige beelden voor de geest bij dat woord

Op dit item kan niet meer gereageerd worden.

Windows 10-lek laat aanvaller BitLocker omzeilen en beheerdersrechten verkrijgen

Lees meer

IT-banen

Reacties (54)

Sorteer op:

Weergave: