Als Erweiterung des SEC4YOU PenTest Portfolios bieten wir einen standardisierten Audit von Microsoft BitLocker verschlüsselten Systemen (Server, Workstations, Notebooks, Tablets) mit dem Ziel die BitLocker Verschlüsselung zu umgehen und alle Daten zu extrahieren.
Als Methode wird der im März 2019 beschriebene TPM-Sniffing Angriff auf den TPM-Chip genutzt, hier der Link zum Exploit. Der Angriff erfordert physischen Zugang zum PC, wobei im Zuge des Eindringversuches ein speziell präpariertes FPGA (ein Field Programmable Gate Array) auf den TPM 1.2 oder TPM 2.0 angebracht wird. Beim Windows Boot mit aktivierter Microsoft Verschlüsselung wird der Volume Master Key (VMK) vom TPM an das Windows System übertragen, wobei dieser durch den FPGA abgehört und protokolliert wird. Dieser Schlüssel dient zum Entschlüsseln des Full Volume Encryption Key (FVEK) des Systemlaufwerkes.
Angreifbar sind folgende Systeme:
- Alle BitLocker Versionen der Betriebssysteme: Windows 7, Windows 8, Windows 10 inkl. Version 1903
- Jede TPM-only geschützte Hardware: Server, Workstations, Notebooks, Tablets
Nach dem Angriff wird der FPGA vom TPM-Chip entfernt und das System kann neu aufgesetzt werden. Eine Wiederherstellung durch den Recovery-Schlüssel ist bei diesem Hack nicht vorgesehen.
Datenrettung bzw. Simulation eines Cyberangriffes
Der PenTest ist in zwei Kundenanforderungen hilfreich:
- Überprüfung der operativen Wirksamkeit der eingesetzten BitLocker Verschlüsselung
- Datenrettung von BitLocker verschlüsselten Endgeräten
- die nicht mehr korrekt booten, z.B. Bluescreen, defekte Sektoren, Updateprobleme, Treiberprobleme
- deren Recovery Schlüssel und Benutzerpasswort verloren gegangen ist
Gerne klären wir in einem persönlichen Gespräch die Vorgehensweise und die technischen Voraussetzungen.
Als Ergebnis des PenTests werden die entschlüsselten Daten aller Benutzer auf einem externen Speichermedium zur Verfügung gestellt.