Интегрированный TPM (Trusted Module Platform) сегодня является ключевым элементом безопасности системы. Настолько, что, как вы, возможно, хорошо знаете, Microsoft разрешит установку Windows 11 только в системах, оснащенных этой системой безопасности (за некоторыми исключениями, о которых мы говорили вам здесь), в результате чего пользователи старых систем, не имеющих Чип TPM в сложной ситуации и у кого нет возможности его установить.
Дело в том, что производители и разработчики делают ставку на микросхемы, предназначенные для обеспечения безопасности определенных операций, с TPM, сопровождающим совместимые системы, и безопасный анклав как реализацию того же самого, разработанного Apple. И нет никаких сомнений в том, что в подавляющем большинстве случаев эта система предлагает более чем адекватный уровень безопасности, при котором мы можем сохранять спокойствие.
Однако TPM оказался небезупречным, при определенных обстоятельствах и с помощью сложной, но выполнимой процедуры можно обойти защиту, которая теоретически предотвращает включение и использование системы и, в тех же обстоятельствах, доступ к корпоративной сети. , с огромными рисками, которые это создает. Прежде чем приступить к анализу уязвимости, мы еще раз настаиваем на том, что мы упоминали ранее, это очень специфические обстоятельства, и эта атака не доступна никому, но все же важно знать об этом и, при необходимости, предотвратить ее.
Это открытие является результатом расследования, проведенного и обнародованного несколько дней назад Долос Групп, авторы которого получили полный доступ к жесткому диску портативного компьютера, предварительно настроенного для обеспечения доступа к корпоративной сети через безопасное соединение VPN. Этот тип конфигурации очень распространен в компаниях, которые предоставляют эти компьютеры своим сотрудникам, чтобы они могли безопасно работать удаленно.
TPM безопасен, его реализация менее надежна
Учитывая безопасность, обеспечиваемую микросхемой TPM, многие атаки исключены, поэтому исследователи попробовали другой подход, то есть искали слабые места, связанные с самим чипом и его интеграцией в систему. В наиболее распространенной конфигурации система загружается непосредственно в Windows, без ввода пароля на предыдущем этапе. Один ключ, хранящийся на чипе, используется для разблокировки системы.
Сама конструкция микросхем TPM делает попытку прямого доступа к их содержимому практически невозможной. Говорят, что некоторые модели даже имеют функцию физического самоуничтожения при обнаружении попыток доступа внутрь. Между тем точки, которые прикрепляют микросхему к плате, настолько малы, что на практике почти невозможно припаять к ним что-либо, чтобы попытаться получить доступ к данным, передаваемым на микросхему и от нее.
И какой будет смысл доступа к такому трафику данных? Здесь нам нужно знать, что TPM-соединение с ЦП осуществляется через шину SPI (последовательный периферийный интерфейс) и что из-за реализации безопасности BitLocker размещение сниффера на этой шине данных может позволить получить ключ дешифрования блока хранения системы. быть полученным, так как он передается в незашифрованном виде.
В идеале из соображений безопасности TPM должен иметь выделенную шину, соединяющую его с ЦП, но по причинам дизайна и стоимости оказывается, что та же шина, которая используется для этого соединения, также используется другими компонентами на материнской плате, включая CMOS. микросхема, в которой находится BIOS системы. Что особенного в этой микросхеме? Что ж, в отличие от TPM, контакты, которые соединяют его с материнской платой, очень большие, поэтому подключать что-либо к ним намного проще.
Следующим шагом был анализ всего трафика данных на шине SPI, к которой были подключены как BIOS, так и микросхема TPM, фильтрация всех данных для извлечения ключа шифрования. Им не потребовалось много времени, чтобы воспользоваться системным доступом к жесткому диску, чтобы получить доступ к содержимому блока хранения. С этого момента война уже была выиграна, исследователи уже получили ключ, необходимый для расшифровки содержимого диска.
С полученным ключом дешифрования накопителя исследователям больше не приходилось сталкиваться с невозможностью разблокировать систему без ключа: следующим шагом было отключение SSD от ноутбука и подключение его к другой системе для доступа к его содержимому.
Даже хуже, чем казалось
В ходе анализа содержимого жесткого диска был сделан очень интересный вывод: на ПК был установлен корпоративный VPN-клиент, предустановленный и предварительно настроенный, готовый к использованию. В отличие от VPN-клиентов для домашних пользователей, корпоративные решения имеют очень интересную особенность: они устанавливают соединение до того, как пользователь входит в систему. Таким образом, сценарии домена выполняются в системах сразу после их включения, что позволяет избежать необходимости аутентификации по паролю (специфичной для каждого компьютера) в каждом случае, что может стать кошмаром для администратора таких систем.
Что это значит? Что ж, в этот момент исследователи и потенциальные злоумышленники могут прибегнуть ко многим хорошо известным методам, чтобы внедрить вредоносное ПО в SSD атакуемой системы, которое затем будет повторно собрано на ПК. И когда этот компьютер или дамп его диска на виртуальной машине загружается, он немедленно получает доступ к корпоративной сети, так что не только безопасность этой системы, но и всей инфраструктуры будет поставлена под угрозу.
Как мы упоминали в начале, это сложная атака, поскольку для нее требуется физический доступ к системе, и с некоторыми дополнительными мерами безопасности она становится недействительной. Самый простой вариант заключается в том, что пользователь должен ввести пароль для запуска системы (самой системы, а не Windows), а также можно использовать дополнительную систему безопасности, которая обеспечивает шифрование связи между TPM и ЦП.
Поэтому мы говорим о проблеме безопасности, которую нелегко использовать, но которая существует, может быть воспроизведена (тем более, что теперь, когда она стала общедоступной), и это показывает, что даже наличие микросхемы TPM не гарантирует полной безопасности. И как следствие, необходимо принять дополнительные меры, например, заблокировать запуск системы паролем.
И есть одна рекомендация, которая важнее всех остальных: помните, что у нас никогда не будет 100% безопасности. Независимо от того, есть ли у нас микросхема TPM, очень безопасный VPN и т. Д., Мы не должны пренебрегать безопасностью. Держите наши компьютеры под наблюдением, не устанавливайте программное обеспечение сомнительного происхождения, будьте очень осторожны с тем, что мы получаем по электронной почте… да, мы знаем, это те же старые правила, но их важность имеет основополагающее значение, когда речь идет о защите нас от угроз.