De BitLocker-versleutelingstechnologie van Microsoft is een van de meer toegankelijke versleutelingsoplossingen, waarmee gebruikers gegevens veilig kunnen versleutelen en beschermen tegen bedreigingen. BitLocker lijkt echter niet zo veilig te zijn als mensen denken. Eerder deze week plaatste YouTuber-gebruiker Stacksmashing een video waarin hij liet zien hoe hij BitLocker-gegevens onderschepte en coderingssleutels stal, waardoor de gegevens die op het systeem waren opgeslagen, werden gedecodeerd. Niet alleen dat, maar hij deed het in 43 seconden met een Raspberry Pi Pico die waarschijnlijk minder dan $ 10 kost.
Om de aanval uit te voeren, maakte hij gebruik van de Trusted Platform Module (TPM). Bij de meeste computers en laptops is de TPM extern en gebruikt deze de LPC-bus om gegevens van de CPU te verzenden en te ontvangen. Microsoft's BitLocker vertrouwt op de TPM om kritieke gegevens op te slaan, zoals platformconfiguratieregisters en volumehoofdsleutels.
Tijdens het testen ontdekte stacksmashing dat de LPC-bus via communicatielijnen met de CPU communiceert. Deze communicatielijnen zijn bij het opstarten niet gecodeerd en kunnen kritieke gegevens stelen. Stacksmashing verbindt een Raspberry PiPico met metalen pinnen op een ongebruikte connector om encryptiesleutels vast te leggen tijdens het opstarten. De RaspberryPi is ingesteld om de binaire nullen en enen van de TPM vast te leggen bij het opstarten van het systeem, zodat hij de volumehoofdsleutel kan samenstellen. Toen hij klaar was, verwijderde hij de gecodeerde schijf en decodeerde hij de schijf met behulp van een ontgrendeling met de volumehoofdsleutel.
Microsoft merkt op dat deze aanvallen mogelijk zijn, maar zegt dat hiervoor geavanceerde tools en langdurige fysieke toegang tot het apparaat nodig zijn. Zoals de video echter laat zien, kan iemand die klaar is om de aanval uit te voeren deze binnen een minuut voltooien.
Er zijn echter enkele kanttekeningen waarmee u rekening moet houden. Deze aanval werkt alleen op externe TPM-modules, de CPU moet gegevens uit de module op het moederbord halen. Veel nieuwe laptop- en desktop-CPU's zijn nu uitgerust met fTPM, waarbij kritieke gegevens in de CPU zelf worden opgeslagen en beheerd. Microsoft raadt aan een BitLocker-pincode in te stellen om deze aanvallen te blokkeren, maar dit is niet eenvoudig omdat er een groepsbeleid moet worden ingesteld om de pincode te configureren.