一、无恒实验室 ✖️ GeekCon2023

10月24日，首届GeekCon在上海举办，字节跳动无恒实验室携最新研究《打开上帝模式-DMA注入获取BitLocker加密的硬盘数据》亮相大会。

来自无恒实验室的杨昊坤和韩泽方，现场讲解了新的DMA攻击方法，并进行了破解演示。无恒实验室发现部分厂商的笔记本未能保护Pre-boot阶段的UEFI固件安全，从而导致UEFI固件遭受DMA攻击，最终导致系统盘的BitLocker加密在无需用户密码的情况下就可以被解密。现场通过对UEFI的DMA攻击，成功实现绕过某笔记本厂商最新BIOS的PCIe DMA防御手段，在不知道用户密码的情况下，获取了BitLocker加密的系统盘数据。

二、终端设备数据加密

早在2016年，Ulf Frisk公开了用于PCIe DMA攻击的pcileech硬件与软件参考设计，通过插入一块可以操控PCIe总线报文的FPGA卡，使用PCIe总线的内存读写指令绕过CPU直接读写主机内存。近些年来PCIe DMA攻击被大量用于游戏作弊等场景，这对移动端的数据安全造成了挑战。自PCIe DMA公开以来，包括Intel，Microsoft，笔记本厂商均在软硬件机制上加入了对PCIe DMA攻击的缓解措施。

企业员工的办公笔记本电脑通常包含企业的敏感信息与企业系统的登录凭据与状态，对于Windows笔记本，企业通常会启用笔记本电脑的BitLocker加密，启用安全启动，并安装EDR软件。然而，当笔记本被盗或遗失，现有的安全措施是否能阻止办公笔记本电脑信息泄露呢？

三、PCl DMA攻击与防御

为了评估在员工笔记本被盗或遗失，攻击者可以物理接触设备的情况下的数据安全风险，验证BitLocker加密后的系统盘数据是否安全，无恒实验室对业界数十款常用的商务笔记本电脑进行了安全测试，囊括了市场上近5年来销售的Intel Core九代至十三代的主流型号。无恒实验室模拟办公笔记本在公司的策略下丢失后被攻击者捡到的场景，尝试破解其BitLocker加密并窃取硬盘数据。

在研究过程中，我们深入研究UEFI固件启动流程，将DMA攻击拓展到Pre-boot阶段，并分析各个厂商Pre-boot阶段的DMA安全问题。我们发现部分厂商可以关闭Pre-boot阶段的DMA保护，部分厂商对关闭Pre-boot DMA保护缺乏TPM度量。尽管 PCIe DMA 攻击手段和工具在七年前已经公开，但直至今日仍有近半数搭载 Windows 的软硬件平台无法防范这种攻击。在攻击者可以物理接触到设备的情况下，有可能导致 BitLocker 加密数据泄露。

无恒实验室发现一款使用2020年固件版本的办公设备，关闭Kernel DMA Protection，不会影响TPM PCR[7]度量，之后可以使用DMA攻击修改Windows登录框逻辑，跳过密码。虽然厂商已经在最新的BIOS修复该问题，但部分产品的防降级功能不完善，仍然可能导致供应链攻击。

针对最新平台最新固件使用的DMA保护，无恒实验室也发现了一种新的绕过方法。在某厂商部分型号的最新BIOS中，缺乏对Pre-boot阶段的DMA保护，或缺乏对Pre-boot DMA保护开关的度量。我们提出了一种新的方法：使用DMA攻击处于BDS阶段的UEFI固件，获得代码执行权限，在此基础上篡改ACPI表，成功在安全启动与IOMMU开启的状态下关闭了Windows的内核DMA保护，最终成功免密码解密了BitLocker加密的系统盘。

无恒实验室在研究中也总结和分析了其他攻击思路，包括伪造正常设备返回畸形数据，攻击EFI内置Option ROM、运行外部恶意设备的Option ROM、使用DCI/HDT等芯片级调试工具、抓取TPM与CPU之间的通信等等。在此基础上分析了此类安全问题的成因，不仅仅因为厂商的BIOS实现存在问题，更重要的是BitLocker加密机制仅依赖平台的安全性，而不是用户密钥的机密性。

四、小结

整个项目的研究过程中，无恒实验室总结了公开7年之久的DMA攻击在今天仍然有效的的根因：Windows BitLocker对系统盘的加密功能仅由硬件与固件的安全性保证，而不是用户密钥的机密性。同时指出这种攻击也存在局限性，只适合攻击使用TPM加密的系统盘，对于仅使用密码加密的非系统盘是无效的。

同时，无恒实验室秉持负责任的漏洞披露政策，提出了针对厂商的漏洞修复方案，并告知了这种攻击可以泄露用户数据的根本原因，希望促进软硬件厂商改进数据加密与平台策略，与行业一同保护办公终端的数据安全。