Als Erwei­te­rung des SEC4YOU Pen­Test Port­fo­li­os bie­ten wir einen stan­dar­di­sier­ten Audit von Micro­soft Bit­Lo­cker ver­schlüs­sel­ten Sys­te­men (Ser­ver, Work­sta­tions, Note­books, Tablets) mit dem Ziel die Bit­Lo­cker Ver­schlüs­se­lung zu umge­hen und alle Daten zu extrahieren.

Als Metho­de wird der im März 2019 beschrie­be­ne TPM-Snif­fing Angriff auf den TPM-Chip genutzt, hier der Link zum Exploit. Der Angriff erfor­dert phy­si­schen Zugang zum PC, wobei im Zuge des Ein­dring­ver­su­ches ein spe­zi­ell prä­pa­rier­tes FPGA (ein Field Pro­gramma­ble Gate Array) auf den TPM 1.2 oder TPM 2.0 ange­bracht wird. Beim Win­dows Boot mit akti­vier­ter Micro­soft Ver­schlüs­se­lung wird der Volu­me Mas­ter Key (VMK) vom TPM an das Win­dows Sys­tem über­tra­gen, wobei die­ser durch den FPGA abge­hört und pro­to­kol­liert wird. Die­ser Schlüs­sel dient zum Ent­schlüs­seln des Full Volu­me Encryp­ti­on Key (FVEK) des Systemlaufwerkes.

Angreif­bar sind fol­gen­de Systeme:

  • Alle Bit­Lo­cker Ver­sio­nen der Betriebs­sys­te­me: Win­dows 7, Win­dows 8, Win­dows 10 inkl. Ver­si­on 1903
  • Jede TPM-only geschütz­te Hard­ware: Ser­ver, Work­sta­tions, Note­books, Tablets

Nach dem Angriff wird der FPGA vom TPM-Chip ent­fernt und das Sys­tem kann neu auf­ge­setzt wer­den. Eine Wie­der­her­stel­lung durch den Reco­very-Schlüs­sel ist bei die­sem Hack nicht vorgesehen.

Daten­ret­tung bzw. Simu­la­ti­on eines Cyberangriffes

Der Pen­Test ist in zwei Kun­den­an­for­de­run­gen hilfreich:

  1. Über­prü­fung der ope­ra­ti­ven Wirk­sam­keit der ein­ge­setz­ten Bit­Lo­cker Verschlüsselung
  2. Daten­ret­tung von Bit­Lo­cker ver­schlüs­sel­ten Endgeräten
    • die nicht mehr kor­rekt boo­ten, z.B. Blue­screen, defek­te Sek­to­ren, Update­pro­ble­me, Treiberprobleme
    • deren Reco­very Schlüs­sel und Benut­zer­pass­wort ver­lo­ren gegan­gen ist

Ger­ne klä­ren wir in einem per­sön­li­chen Gespräch die Vor­ge­hens­wei­se und die tech­ni­schen Voraussetzungen.

Als Ergeb­nis des Pen­Tests wer­den die ent­schlüs­sel­ten Daten aller Benut­zer auf einem exter­nen Spei­cher­me­di­um zur Ver­fü­gung gestellt.

  • Ange­bot Bit­Lo­cker Angriff / Bit­Lo­cker Daten­ret­tung anfordern