Систему полного шифрования диска Windows BitLocker можно обойти

Проведённое представителем компании Synopsys исследование показало, что технологию шифрования дисков BitLocker, используемую для повышения безопасности данных на устройствах под управлением операционной системы Windows, можно легко обойти. BitLocker была представлена в 2007 году вместе с Windows Vista, давая пользователям домашних и корпоративных ПК защиту данных без необходимости постоянно вводить пароль при загрузке системы.

Согласно проведённому анализу, BitLocker можно обмануть для получения доступа к данным, если имеется физический доступ к компьютеру/ноутбуку, который прежде входил в состав домена. Компьютеры входят в состав доменов на предприятиях и в организациях; домены состоят из компьютеров-клиентов и контроллера для их аутентификации.

Аутентификация производится при помощи пароля, который хранится также локально в кеше компьютера, и уникального пароля, генерируемого при каждом соединении домен-клиент. При авторизации в домене BitLocker даёт доступ к хранящимся на компьютере данным, поэтому при прохождении процесса аутентификации домена злоумышленник получает доступ к ним.

Получив доступ к компьютеру, можно заменить кеш с локальным паролем на модифицированный, переводя даты на несколько лет назад. Далее создаётся новый домен с тем же именем, что и прежний. Используемые контроллером «поддельного домена» политики безопасности запрашивают изменение слишком старого пароля.

Новый пароль заменяет прежний в кеше. Далее устройство отключается от поддельного домена и вводится новый код, который при отсутствии подключения сверяется с ним же, локально хранимым в кеше. Поскольку устройства часто выходят из доменов на непродолжительное время, BitLocker разрешает получать доступ к данным при использовании локального пароля.

Отметим, что Microsoft закрыла эту уязвимость в обновлении MS15-122.