Als Erweiterung des SEC4YOU Pen­Test Port­fo­lios bieten wir einen stan­dar­d­isierten Audit von Microsoft Bit­Lock­er ver­schlüs­sel­ten Sys­te­men (Serv­er, Work­sta­tions, Note­books, Tablets) mit dem Ziel die Bit­Lock­er Ver­schlüs­selung zu umge­hen und alle Dat­en zu extrahieren.

Als Meth­ode wird der im März 2019 beschriebene TPM-Sniff­ing Angriff auf den TPM-Chip genutzt, hier der Link zum Exploit. Der Angriff erfordert physis­chen Zugang zum PC, wobei im Zuge des Ein­dringver­such­es ein speziell prä­pari­ertes FPGA (ein Field Pro­gram­ma­ble Gate Array) auf den TPM 1.2 oder TPM 2.0 ange­bracht wird. Beim Win­dows Boot mit aktiviert­er Microsoft Ver­schlüs­selung wird der Vol­ume Mas­ter Key (VMK) vom TPM an das Win­dows Sys­tem über­tra­gen, wobei dieser durch den FPGA abge­hört und pro­tokol­liert wird. Dieser Schlüs­sel dient zum Entschlüs­seln des Full Vol­ume Encryp­tion Key (FVEK) des Sys­tem­laufw­erkes.

Angreif­bar sind fol­gende Sys­teme:

  • Alle Bit­Lock­er Ver­sio­nen der Betrieb­ssys­teme: Win­dows 7, Win­dows 8, Win­dows 10 inkl. Ver­sion 1903
  • Jede TPM-only geschützte Hard­ware: Serv­er, Work­sta­tions, Note­books, Tablets

Nach dem Angriff wird der FPGA vom TPM-Chip ent­fer­nt und das Sys­tem kann neu aufge­set­zt wer­den. Eine Wieder­her­stel­lung durch den Recov­ery-Schlüs­sel ist bei diesem Hack nicht vorge­se­hen.

Datenrettung bzw. Simulation eines Cyberangriffes

Der Pen­Test ist in zwei Kun­de­nan­forderun­gen hil­fre­ich:

  1. Über­prü­fung der oper­a­tiv­en Wirk­samkeit der einge­set­zten Bit­Lock­er Ver­schlüs­selung
  2. Daten­ret­tung von Bit­Lock­er ver­schlüs­sel­ten Endgeräten
    • die nicht mehr kor­rekt booten, z.B. Blue­screen, defek­te Sek­toren, Updateprob­leme, Treiber­prob­leme
    • deren Recov­ery Schlüs­sel und Benutzer­pass­wort ver­loren gegan­gen ist

Gerne klären wir in einem per­sön­lichen Gespräch die Vorge­hensweise und die tech­nis­chen Voraus­set­zun­gen.

Als Ergeb­nis des Pen­Tests wer­den die entschlüs­sel­ten Dat­en aller Benutzer auf einem exter­nen Spe­icher­medi­um zur Ver­fü­gung gestellt.

  • Angebot BitLocker Angriff / BitLocker Datenrettung anfordern