BitLocker加密通过Bitpixie(CVE-2023-21563)在几分钟内绕过 - PoC揭示了高风险攻击路径

安全研究人员已经展示了一种强大的软件技术,可以绕过微软BitLocker加密,而无需螺丝刀,烙铁或硬件黑客。

vulnerability使用称为Bitpixie(CVE-2023-21563)的漏洞,红色团队和攻击性安全专业人员可以从内存中提取BitLocker Volume Master Key(VMK),在五分钟内有效地解密完全受保护的Windows设备。

exploitation“利用被滥用的Bitpixie漏洞是非侵入性的,不需要任何永久性的设备修改,也没有完整的磁盘映像,”Compass Security的研究员Marc Tanner在红色团队评估摘要中写道。

该报告描述了两种主要的基于软件的攻击路径:一种基于Linux的攻击路径,另一种基于Windows PE的攻击路径 – 每个路径都利用易受攻击的引导路径和BitLocker对TPM的依赖,而无需预先启动身份验证。

基于Linux的攻击(Bitpixie Linux Edition)

1. 通过 Shift+Reboot 输入 Windows 恢复。
2. PXE 引导到易受攻击的 Windows 引导管理器。
3. 修改引导配置数据以强制 PXE 软重启。
4. 加载一个签名的 Linux shim(shimx64.efi)。
5. 链加载 GRUB、Linux 内核和 initramfs。
6. 使用内核模块扫描 VMK 的物理内存。
7. 通过 dislocker 使用提取的 VMK 调装卷。

此攻击完全绕过 BitLocker 保护,只要设备在启动时不需要 PIN 或 USB 密钥。

“它允许在某些社会工程场景中快速(约5分钟)妥协和更灵活地集成,”报告指出。

Windows基于PE的攻击(Bitpixie WinPE版)

对于阻止第三方签名组件(例如联想安全核心 PC)的系统,攻击者可以转向 Windows 原生攻击路径:

1. PXE 引导到 Windows 引导管理器再次与修改的 BCD。
2. 加载包含winload.efi,ntoskrnl.exe和其他签名的Microsoft组件的WinPE映像。
3. 运行自定义版本的 WinPmem 以扫描 VMK 的内存。
4. 使用 VMK 解密 BitLocker 元数据并检索人类可读的恢复密钥。

“基于WindowsPE的攻击流仅使用由Microsoft签名的核心组件……适用于所有受影响的设备,只要他们信任Microsoft Windows Production PCA 2011证书,”研究人员解释说。

虽然BitLocker通常部署在仅使用TPM保护的用户方便中,但这种配置使系统容易受到仅软件攻击。

报告强调了启用启动前身份验证(PIN、USB密钥或密钥文件)的重要性,vulnerability指出:“Bitpixie漏洞——更一般地说是硬件和软件攻击——可以通过强制启动前身份验证来减轻。

安全团队应使用 BitLocker 对所有设备进行审核,并立即执行预启动身份验证。