数日前、ハードウェア保護付きのいくつかのSSDモデルを使用したデータ暗号化システムの脆弱性を発見したRadbode大学の科学者による研究に関する記事がHabréで公開されました。 したがって、特別な方法を使用すると、保護されたデータにアクセスできます。パスワードを知る必要はまったくありません。
Windowsの場合、OSがSSDにハードウェア保護があると判断すると、組み込みのWindows Bitlocker暗号化システムが無効になるため、問題は最も緊急であることが判明しました。 実際、SSDrucialとSamsungを使用し、ドライブのファームウェアを更新していないユーザーは、攻撃者にデータを公開し続けます。 先日、マイクロソフトはWindows環境でハードウェア保護を備えたSSDのデータ保護方法に関する情報を公開しました。
同社は、 1394およびThunderboltシステムのDirect Memory Access(DMA)機能が有効になっていることを示す記事を公開しました 。 個別にオフにする必要があります。デフォルトではオンになっています。 BlitLockerで保護されているデバイスのロックが解除されると、暗号化キーはコンピューターのメモリに保存されます。 必要に応じて、攻撃者は特別に設計されたデバイス1394またはThubderboltを脆弱なPCに接続し、暗号化キーを検索して盗むことができます。
マイクロソフトは、この種の攻撃から保護するためのいくつかの方法を説明しています。 たとえば、Windows 10 1803で使用可能なカーネルDMA保護機能を使用します。この機能を使用できないユーザー向けに、マイクロソフトは他の方法を提供しています。 Thunderbolt DMAによる攻撃の成功の可能性を減らす機会。」
この機能は、接続されたThunderbolt 3デバイスをロックし、特定の一連の手順が完了するまで、ダイレクトメモリアクセス機能へのアクセスを許可しません。
Thunderbolt 3デバイスがカーネルDMA保護機能が有効になっているシステムに接続されている場合、WindowsはDMA再マッピングのサポートについてシステムドライブをチェックします。 これは、分離されたメモリの特定のセクションが、オペレーティングシステムで動作するために使用されるデバイスで動作できるようにする機能です。 これにより、以前に合意した他のメモリ領域へのDMAガジェットの侵入を回避できます。
デバイスがメモリ分離をサポートしている場合、Windowsはすぐにメモリの分離領域でDMAを開始するようにデバイスに指示します。 ドライバーがメモリ分離をサポートしていないデバイスの場合、ユーザーがログインするか画面をロック解除するまでアクセスは閉じられます。
通常DMAリマップをサポートしていない同じガジェットの場合、ユーザーがログインするかディスプレイのロックを解除するまで、システムへのアクセスは閉じられます。 これが完了すると、Windowsは専用のドライバーを起動し、ガジェットがDMAアクセス機能をアクティブにできるようにします。
カーネルDMA保護はWindows 10ビルド1803でも引き続き利用できますが、UEFIの新しいファームウェアが必要です。 Windowsユーザーは、ここでこの保護方法について学ぶことができます。 コンピューターがカーネルDMA保護をサポートしていない場合、または最新バージョンのWindowsがインストールされていない場合は、WindowsでSBP-2 1394ドライバーを無効にし、サンダーボルトコントローラーを無効にすることをお勧めします
Thunderboltまたは1394デバイスを使用していない場合、コントローラーを無効にしてもまったく効果がないことを理解する価値があります。 一方、上記の種類のデバイスを使用しているユーザーは、会社のアドバイスを使用して、このような攻撃の可能性をブロックできます。
マイクロソフトはまた、ハードウェアがWindows Engineering Guidanceに準拠していない場合、ThunderroltのDMAおよび1943機能がオフになっている可能性が高いと主張しています。 つまり、海賊版システムは、PCに接続するとすぐに動作を開始します。
「ハードウェアがWindows Engineering Guidanceの推奨事項と異なる場合、PCの電源を入れた後、WindowsはそのようなデバイスでDMAをアクティブにする場合があります。 そして、これによりシステムが侵害に対して脆弱になります」とマイクロソフトは声明で述べています。 対応するコントローラーを無効にするには、正確なデバイスIDが必要です(これはプラグアンドプレイシステムです)。