Blog

Un exploit para Windows se salta las protecciones de BitLocker

Un exploit para Windows se salta las protecciones de BitLocker

BitLocker está diseñado para evitar el acceso a los datos almacenados en el disco, incluso si el ordenador termina en las manos equivocadas. En la mayoría de los escenarios puede llegar a ser una gran barrera. 

¿Cómo funciona BitLocker?

Cuando un PC con Windows está apagado, o el disco duro está desconectado, toda la unidad permanece encriptada.

En la mayoría de los sistemas Windows modernos, la clave de cifrado está protegida por un pequeño chip de seguridad en la placa base llamado Trusted Platform Module (TPM).

Al arrancar un equipo apagado si todo parece normal, el TPM libera automáticamente la clave de cifrado y BitLocker desbloquea la unidad, lo que permite que Windows se inicie sin problemas.

Este proceso ocurre en segundo plano, por lo que generalmente no se nota.

Por ejemplo, en el caso de un ordenador portátil perdido o robado (apagado) el ladrón o la persona que lo ha encontrado necesitaría la clave de recuperación o un PIN para poder acceder al sistema operativo.

Esta protección basada en hardware es una de las principales razones por las que Microsoft requiere soporte TPM 2.0 para Windows 11.

¿Qué pasó?

Como hemos dicho antes se supone que BitLocker es la primera línea de defensa cuando un dispositivo cae en manos no autorizadas.

Pero por lo visto YellowKey desafía directamente esa suposición.

Para que un villano pueda colarse de resbalón mediante este exploit no hace falta descifrar el algoritmo de cifrado de BitLocker.

La debilidad vive dentro del propio entorno de recuperación de Windows (WinRE), donde se puede abusar de un componente de confianza para desbloquear el acceso.

Si bien no es la primera vez que se explota la relación de confianza entre BitLocker y WinRE para arrancar entornos de recuperación esta manera de hacerlo era desconocida hasta la fecha.

El ataque se basa en archivos especialmente diseñados colocados en un dispositivo USB.

Básicamente:

  1. Se copia la carpeta personalizada FsTx desde la página de exploits Nightmare-Eclipse a una unidad USB con formato NTFS o FAT.
  2. Se conecta la unidad USB al dispositivo protegido con BitLocker.
  3. Se Inicia el dispositivo mediante la memoria USB.
  4. Mientras se inicia el  PC se mantiene presionada la tecla [Ctrl].
  5.  Windows se inicia en Modo de recuperación.

Una vez que el sistema Windows se reinicia en modo de recuperación, el componente WinRE vulnerable analiza la estructura de archivos y abre una interfaz con acceso completo a la unidad protegida por BitLocker.

interfaz con acceso completo

Utilizando un flujo normal de recuperación de Windows, el atacante tendría que introducir una clave de recuperación de BitLocker o un PIN, pero el exploit evita esta salvaguarda.

En un foro opinan que más que una vulnerabilidad en el entorno de recuperación de Windows (WinRE) es una puerta trasera implementada por Microsoft.

Aunque en función de la información disponible esto es imposible de verificar.

¿Qué implica esto?

Muchos usuarios piensan que el cifrado del disco por sí solo es suficiente para protegerlo todo.

Pero por lo visto, la seguridad de un ordenador portátil o un PC de sobremesa también depende de cómo se gestiona el acceso físico.

Un dispositivo que se olvida en el coche, la oficina o en un lugar público puede quedar expuesto a intentos de acceso que el cifrado por sí solo no siempre puede neutralizar.

Si utilizas un portátil con Windows 11 con BitLocker activo, puedes tomar algunas medidas adicionales

Si un atacante un técnico o un ladrón pueden acceder físicamente a un dispositivo para quitar componentes o manipular de alguna manera la secuencia de arranque, la protección debe reforzarse con medidas extra.

  • No dejes el dispositivo desatendido en lugares públicos. Podrían robártelo.
  • Llévalo a reparar a un sitio de confianza. Preferentemente al servicio oficial de la marca.
  • Si la versión de Windows lo admite evalúa el uso un PIN de «preinicio» al que WinRE no pueda acceder automáticamente. Esto requiere un cambio en la configuración de las directivas de grupo.
  • Mantén actualizado el sistema operativo y el firmware para reducir el riesgo de vulnerabilidades conocidas.
  • Protege la BIOS/UEFI con contraseña.

No deberías asumir que tanto el sistema operativo como la cadena de suministro son totalmente seguros.

Cómo interpretar correctamente el riesgo

No debemos entrar en pánico. Perpetrar este ataque requiere que se cumplan unas condiciones precisas, habilidades y sobre todo acceso físico al dispositivo.

Por lo tanto, a diferencia de un ataque remoto esto limita en gran medida su alcance.

Pero no hay que olvidar que un ordenador portátil perdido o robado puede contener documentos importantes, datos personales y material confidencial.

Y si para ahorrarnos unos pocos euros lo llevamos a reparar al lugar equivocado, lo olvidamos en un hotel, en la terraza de un bar o nos lo roban podemos tener un problema.

¿BitLocker sigue siendo útil?

YellowKey no elimina la utilidad de BitLocker que continúa siendo una herramienta muy importante para proteger los datos en reposo, y sin duda complica seriamente el trabajo de aquellos que desean leer información confidencial sin autorización.

Pero recuerda que la robustez de una plataforma de cifrado depende de toda la cadena de confianza, no solo del motor criptográfico. 

Por lo tanto, el cifrado y el endurecimiento del firmware deben combinarse con el control físico del dispositivo.

Contenido relacionado

Información

Infosegur.net 

Licencia de Creative Commons 4.0

Made in Humans

Artículos actualizados

Temas

Privacidad Amenazas Estafas Seguridad informática Windows Internet Ingeniería social Malware Teléfonos móviles Contraseñas Herramientas Software malicioso Inteligencia artificial Redes Linux Seguridad de sitios web VPN Redes sociales Software de código abierto Seguridad de Linux Vulnerabilidades Android Correo electrónico