Windows 10上的BitLocker绕过升级
- 类别: 安全
一位安全研究人员在Microsoft的Windows 10操作系统中发现了一个新问题,攻击者可以利用该问题访问BitLocker加密数据。
Win-Fu博客上的帖子重点介绍了该方法。基本上,该方法的作用是利用在升级过程中启用的故障排除功能。
安装“功能更新”(以前称为“升级”)的方式中存在一个小但疯狂的错误。通过重新映像计算机和由称为Windows PE(预安装环境)的Windows的较小版本安装的映像,可以完成新版本的安装。
它具有故障排除功能,可让您按SHIFT + F10来获取命令提示符。可悲的是,这在Microsoft禁用BitLocker的升级过程中允许访问硬盘。
如果按Shift-F10,则会打开一个命令提示符窗口,该窗口可让您访问操作系统的存储设备。
由于在升级过程中禁用了BitLocker保护,因此,利用此问题的任何人都可以访问通常由BitLocker加密的所有文件。
Windows 10上的BitLocker绕过升级
该方法当前在将原始Windows 10发行版更新为11月更新版本1511或周年更新版1607时有效。此外,它至少在当前适用于Microsoft推出的任何新Insider Build上。
正如披露该问题的研究人员Sami Laiho所指出的那样,主要问题是,本地访问该计算机的任何人都可以利用此问题。不需要管理访问权限,Windows设备上的特殊软件,设置或硬件也不是必需的。
由于这是一个本地问题,因此很明显,该问题不会在野外被利用。另一方面,对Windows计算机具有本地访问权限的任何人都可以利用此问题。如果是用户,则系统管理员可以阻止Windows 10配置为接受Windows Insider更新。
因此,公司应禁止为运行Windows 10的计算机打开Windows Insider内部版本。
这是通过以下方式完成的:
- 点击Windows键,键入regedit.exe,然后按Enter键。
- 导航到以下注册表项: HKEY_LOCAL_MACHINE SOFTWARE Microsoft WindowsSelfHost UI Visibilit 和
- 右键单击“可见性”,然后选择“新建”>“ Dword(32位)值”。
- 命名 HideInsiderPage 。
- 双击新的首选项并将其值设置为1。
您可以随时通过删除密钥或将其设置为0来撤消更改。
公司可能还希望禁止Windows 10计算机上的无人值守升级(不一定更新),以防止利用此问题。
结束语
对于运行Windows 10的受BitLocker保护的设备,公开的安全问题是有问题的。这里的主要问题当然是在升级过程中揭示受保护的文件。