Bitlocker: Windows-Festplattenverschlüsselung lässt sich in „Sekunden“ umgehen

Das US-Sicherheitsunternehmen Synopsys hat auf eine Schwachstelle in Microsofts Festplattenverschlüsselungstool Bitlocker hingewiesen (PDF). Die Verschlüsselung eines Windows-Systems lässt sich demnach in kürzester Zeit aushebeln – auch von einem unerfahrenen Angreifer. Seit Dienstag ist allerdings der Patch MS15-122 erhältlich, der die Lücke schließen soll.

Bitlocker ist Bestandteil von Windows Server ab Version 2008 sowie der Ultimate- und Enterprise-Versionen von Windows Vista und Windows 7 und der Pro- und Enterprise-Versionen von Windows 8, 8.1 und 10. Es ermöglicht eine vollständige Laufwerksverschlüsselung und soll verhindern, dass sich Unbefugte beispielsweise mithilfe einer Linux-Live-CD Zugang zu persönlichen Daten verschaffen.

Synopsis-Mitarbeiter Ian Haken beschreibt in einem Papier eine Methode, Bitlocker auf Systemen zu deaktivieren, die mit einer Domäne verbunden sind. Wird diese Verbindung getrennt, nutzt der Computer für die Anmeldung ein in einem lokalen Zwischenspeicher abgelegtes Passwort.

Haken wiederum hat nach eigenen Angaben eine Methode entwickelt, dieses zwischengespeicherte Passwort zu ändern – das Original-Passwort wird dafür nicht benötigt. Dafür richtete er eine gefälschte Domain mit demselben Namen sowie ein Nutzerkonto mit einem bereits vor Jahren angelegten Passwort ein. Ist auf dem Rechner eine Richtlinie für ein Höchstalter des Passworts definiert, fordert das System den Nutzer auf, ein neues Passwort zu hinterlegen – ohne dabei das alte Kennwort abzufragen. Danach kann sich der Nutzer auch ohne Verbindung zur Domäne mit dem neuen Passwort anmelden, wodurch auch die Daten auf dem Laufwerk entschlüsselt werden. Die Automatisierung dieses Verfahrens erlaube es einem nicht autorisierten Nutzer, Bitlocker innerhalb weniger Sekunden abzuschalten, erklärte Haken.

Microsoft beschreibt den in der vergangenen Woche veröffentlichten Patch MS15-122 als ein „Sicherheitsupdate für Kerberos zum Unterbinden einer Umgehung von Sicherheitsfunktionen“. Der Beschreibung des Patches zufolge funktioniert der von Haken entwickelte Angriff nur, wenn Bitlocker „auf dem Zielsystem ohne PIN oder USB-Schlüssel aktiviert wurde“.

Haken weist laut Computerworld jedoch darauf hin, dass die Preboot-Authentifizierung mit PIN oder USB-Schlüssel nur selten verwendet werde, da sie unter anderem eine Wartung von PCs aus der Ferne erschwere. Auch Microsoft räume in seiner eigenen Dokumentation ein, dass die Authentifizierung vor dem Start des Betriebssystems in „der modernen IT-Welt, in der Nutzer erwarten, dass ihre Geräte sofort starten, und die IT konstant mit dem Netzwerk verbundene PCs verlangt, inakzeptabel“ sei.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.