Bitlocker: Verschlüsselung vom Windows-System lässt sich schnell aushebeln

Den Angriff funktioniert nur auf Computern, die mit einer Domäne verbunden sind, kann aber auch von unerfahrenen Nutzern ausgeführt werden. Seit vergangener Woche bietet Microsoft einen Patch, der die Lücke schließen soll.

Das Festplattenverschlüsselungstool Bitlocker ist Bestandteil von Windows Server ab Version 2008 sowie der Ultimate- und Enterprise-Versionen von Windows Vista und Windows 7 und der Pro- und Enterprise-Versionen von Windows 8, 8.1 und 10. Es ermöglicht eine vollständige Laufwerksverschlüsselung und soll verhindern, dass sich Unbefugte beispielsweise mithilfe einer Linux-Live-CD Zugang zu persönlichen Daten verschaffen.

Auf eine Schwachstelle in besagtem Bitlocker (PDF) hat jetzt das US-Sicherheitsunternehmen Synopsys hingewiesen. Demnach lässt sich die Verschlüsselung eines Windows-Systems auch von einem unerfahrenen Angreifer in kürzester Zeit aushebeln. Der Patch, der die Lücke schließen soll, ist bereits seit Dienstag MS15-122 erhältlich.

Verschlüsselung (Bild: Shutterstock

Verschlüsselung (Bild: Shutterstock

In einem Papier beschreibt Synopsys-Mitarbeiter Ian Haken eine Methode, Bitlocker auf Systemen zu deaktivieren, die mit einer Domäne verbunden sind. Wird diese Verbindung getrennt, nutzt der Computer für die Anmeldung ein in einem lokalen Zwischenspeicher abgelegtes Passwort.

Haken wiederum hat nach eigenen Angaben eine Methode entwickelt, dieses zwischengespeicherte Passwort zu ändern – das Original-Passwort wird dafür nicht benötigt. Dafür richtete er eine gefälschte Domain mit demselben Namen sowie ein Nutzerkonto mit einem bereits vor Jahren angelegten Passwort ein. Ist auf dem Rechner eine Richtlinie für ein Höchstalter des Passworts definiert, fordert das System den Nutzer auf, ein neues Passwort zu hinterlegen – ohne dabei das alte Kennwort abzufragen. Danach kann sich der Nutzer auch ohne Verbindung zur Domäne mit dem neuen Passwort anmelden, wodurch auch die Daten auf dem Laufwerk entschlüsselt werden. Die Automatisierung dieses Verfahrens erlaube es einem nicht autorisierten Nutzer, Bitlocker innerhalb weniger Sekunden abzuschalten, erklärte Haken.

Microsoft beschreibt den in der vergangenen Woche veröffentlichten Patch MS15-122 als ein „Sicherheitsupdate für Kerberos zum Unterbinden einer Umgehung von Sicherheitsfunktionen“. Der Beschreibung des Patches zufolge funktioniert der von Haken entwickelte Angriff nur, wenn Bitlocker „auf dem Zielsystem ohne PIN oder USB-Schlüssel aktiviert wurde“.

Haken weist laut Computerworld jedoch darauf hin, dass die Preboot-Authentifizierung mit PIN oder USB-Schlüssel nur selten verwendet werde, da sie unter anderem eine Wartung von PCs aus der Ferne erschwere. Auch Microsoft räume in seiner eigenen Dokumentation ein, dass die Authentifizierung vor dem Start des Betriebssystems in „der modernen IT-Welt, in der Nutzer erwarten, dass ihre Geräte sofort starten, und die IT konstant mit dem Netzwerk verbundene PCs verlangt, inakzeptabel“ sei.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Bitlocker: Verschlüsselung vom Windows-System lässt sich schnell aushebeln

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *