Einführung

Auf dem Chaos Communication Congress (38C3) hat der Sicherheitsforscher und Hardware-Hacker Thomas Lambertz, auch bekannt als th0mas, in seinem fesselnden Vortrag "Windows BitLocker: Screwed without a Screwdriver" gezeigt, wie es gelingt, mit Microsofts BitLocker geschützte Windows-11-Systeme ohne physischen Zugriff zu entschlüsseln. Dies ist besonders brisant, da einfaches Anstecken eines Netzwerkkabels ausreicht, nachdem das Gerät in den Wiederherstellungsmodus versetzt wurde.

Die neu entdeckte Schwachstelle - CVE-2023-21563

Diese neu entdeckte Schwachstelle, bekannt als CVE-2023-21563, fällt in die Kategorie der "bitpixie"-Angriffe und ist seit dem Sommer 2022 bekannt. Trotz der Behauptung von Microsoft, den Fehler seit November 2022 zu behoben, bleibt die Lücke ausnutzbar, was Lambertz in seinem Vortrag eindrucksvoll demonstrierte. Der bekannteste Angriff erfordert das Booten eines veralteten Windows-Bootloaders, welches das Entschlüsselungsschlüssel im Arbeitsspeicher zurücklässt.

Live-Demonstration der Schwachstelle

Lambertz konnte im Live-Test zeigen, wie er mit Hilfe von Secure Boot und einem modifizierten Linux-System den Inhalt des Arbeitsspeichers durch eine Schwachstelle im Linux-Kernel auslesen konnte, um so den sogenannten Volume Master Key von BitLocker zu extrahieren. Dieses Verfahren ermöglicht Angreifern den Zugriff auf die verschlüsselten Daten, ohne direkten physischen Zugang zu den Speichermedien zu benötigen.

Eine ernsthafte Gefahr für die Datensicherheit

Die Problematik ist Microsoft seit geraumer Zeit bekannt. Lambertz hegt Bedenken, dass eine vollständige Lösung des Problems, wie der Widerruf von Zertifikaten für verwundbare Bootloader, aufgrund des begrenzten Speicherplatzes in der UEFI-Firmware nicht umsetzbar ist. Ab 2026 plant Microsoft neue Secure-Boot-Zertifikate auszugeben, was eine aktualisierte UEFI-Umgebung für Mainboard-Hersteller erforderlich machen würde.

Empfohlene Schutzmaßnahmen

Um optimalen Schutz gegen diese Schwachstelle zu gewährleisten, empfiehlt Lambertz, BitLocker durch eine Benutzer-PIN zu sichern. Darüber hinaus rät er dazu, die Netzwerkoptionen im BIOS abzuschalten, um zu verhindern, dass Angreifer die bitpixie-Lücke über USB-Netzwerkadapter ausnutzen.

Der faulTPM-Angriff

Ein weiterer alarmierender Punkt, den Lambertz anspricht, ist der letztjährige faulTPM-Angriff, der bereits Schwächen in AMD-CPUs ausnutzte und ebenfalls den Zugriff auf kritische Daten ermöglichte, die für das Entschlüsseln von BitLocker erforderlich sind. Im Gegensatz zu der nun präsentierten Methode erfordert dieser Angriff jedoch mehrere Stunden physischen Zugriff.

Fazit

Die Entdeckung von Lambertz wirft erhebliche Fragen zur Datensicherheit auf und sollte alle Nutzer von Windows 11 alarmieren. Wenn Sie Ihre Daten schützen möchten, sollten Sie jetzt handeln, bevor es zu spät ist!