Haavoittuvuuksia SSD-levyjen salaustoteutuksissa
Haavoittuvuus27/2018
Useiden valmistajien SSD-kiintolevyjen laitteistopohjaisista salaustoteutuksista on löytynyt haavoittuvuuksia, joiden avulla salauksen pystyy purkamaan tietämättä salausavainta.
Levyn salauksessa käytettyä salausavainta ei ole johdettu syötetystä salasanasta, vaan sitä säilytetään levyllä ja se otetaan käyttöön kun käyttäjä syöttää oikean salasanan. Sen pystyy siis selvittämään myös levyltä useilla eri tavoilla.
Jos Windows-käyttöjärjestelmän BitLocker huomaa asennusvaiheessa, että järjestelmässä on SSD-levy joka tukee laitteistosalausta, niin se käyttää oletusasetuksilla levyn tarjoamaa salausta ohjelmistotason salauksen sijaan.
Voit selvittää millä tavalla levy on salattu käynnistämällä komentokehotteen ylläpitäjän oikeuksin ja suorittamalla komennon "manage-bde.exe -status".
Jos Encryption Method -kohdassa lukee Hardware Encryption, niin salaus on toteutettu laitteistotasolla.
Kohde
- Työasemat ja loppukäyttäjäsovellukset
Hyökkäystapa
- Paikallisesti
Vaikutukset
- Suojauksen ohittaminen
Haavoittuvuuden kohde
Kiintolevyt:
- Crucial MX100, MX200, MX300
- Samsung 840 EVO, 850 EVO, T3, T5
Luultavasti vastaavia haavoittuvuuksia löytyy myös muista kiintolevyistä. Haavoittuvuuden löytäjät eivät ole tutkineet kaikkia markkinoilla olevia SSD-levyjä.
BitLockerin heikkous koskee seuraavia Windowsin versioita:
- Microsoft Windows 10 (kaikki versiot)
- Windows 8.1
- Windows Server 2019
- Windows Server v1803
- Windows Server v1709
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
Mistä on kysymys?
Kiintolevyvalmistajat ovat julkaisseet ohjelmistopäivityksiä ongelman rajoittamiseksi.
BitLocker on mahdollista pakottaa käyttämään ohjelmallista levynsalausta GroupPolicyn avulla. Lisää tietoja ja ohjeita on Tietoturva nyt! -artikkelissa Haavoittuvuuksia kiintolevyjen salaustoteutuksissa (Ulkoinen linkki).
Mitä voin tehdä?
Alkuperäinen haavoittuvuustiedote julkaistu 8.11.2018