Die transparente BitLocker Verschlüsselung (z.B. ohne CryptoPro Secure Disk for BitLocker) lädt komplett automatisch den BitLocker AES Volumen-Encryption-Key und startet Windows. Dieser Vorgang erfordert einen initialisierten TPM Chip und Secure-Boot zum Schutz des Boot-Prozesses.
Jedoch bietet ein automatischer Start eines verschlüsselten Clients einem Angreifer eine breites Spektrum an Angriffsvektoren gegen das laufende Windows Betriebssystem.
Bezugnehmend auf https://wccftech.com/microsoft-patches-50-security-windows-10/ wurden am 14. November 2017 die Microsoft Patches KB4048955 (OS Build 16299.64) und KB4048954 (OS Build 15063.726 and 15063.728) veröffentlicht, die 53 Security Schwachstellen schließen. Davon sind 20 als “kritisch” eingestuft und 30 als “wichtig”.
Microsoft TechNet definiert eine kritische Schwachstelle wie folgt:
Eine Sicherheitslücke dessen Ausnutzung eine Ausführung von Code ohne jegliche Benutzerinteraktion erlaubt. Diese Szenarien inkludierten selbst fortpflanzende Malware (z.B. Netzwerk Würmer) oder unvermeidbare Szenarien in denen Code Ausführung ohne Warnungen oder Eingabeaufforderungen erfolgen. Dies kann das Surfen auf einer Webseite oder das Öffnen einer Email sein. Microsoft empfiehlt, dass Kunden kritische Updates sofort einsetzen.
Für eine gestohlenes Windows Client Gerät bedeutet das, dass ein Angreifer nur ein paar Wochen zuwarten muss, um eine Fülle an dokumentierten und ungefixten kritischen Sicherheitslücken auf einem Client-System zu haben und darüber einbrechen kann!
Dies kann einfach durch ein kryptographisches Schloss (einer Pre-Boot-Authentisierung — PBA) vermieden werden, bevor das Windows OS startet.
Nutzen Sie keine transparente Verschlüsselung mit Microsoft BitLocker, da dies Ihre Daten möglicherweise HEUTE schützt — bei einem aktuell gepatchten Client, jedoch definitiv nicht MORGEN — bei einem ungepatchten Client mit kritischen Schwachstellen!
Hinterlasse einen Kommentar
Du musst angemeldet sein, um einen Kommentar schreiben zu können.