Die BitLocker-Verschlüsselungstechnologie von Microsoft ist eine der zugänglicheren Verschlüsselungslösungen, mit der Benutzer Daten sicher verschlüsseln und vor Bedrohungen schützen können. Allerdings scheint BitLocker nicht so sicher zu sein, wie viele denken. Anfang dieser Woche veröffentlichte der YouTuber-Nutzer stacksmashing ein Video, das zeigt, wie er BitLocker-Daten abgefangen und Verschlüsselungsschlüssel gestohlen hat, wodurch er die auf dem System gespeicherten Daten entschlüsselt. Darüber hinaus schaffte er es in 43 Sekunden mit einem Raspberry Pi Pico, der wahrscheinlich weniger als 10 US-Dollar kostet.

Zur Durchführung des Angriffs nutzte er das Trusted Platform Module (TPM). Bei den meisten Computern und Laptops ist das TPM extern und nutzt den LPC-Bus zum Senden und Empfangen von Daten von der CPU. Microsofts BitLocker verlässt sich auf das TPM, um kritische Daten wie Plattformkonfigurationsregister und Volume-Hauptschlüssel zu speichern.

Beim Testen stellte Stacksmashing fest, dass der LPC-Bus über Kommunikationsleitungen mit der CPU kommuniziert. Diese Kommunikationsleitungen werden beim Start nicht verschlüsselt und können wichtige Daten stehlen. Stacksmashing verbindet einen Raspberry PiPico mit Metallstiften an einem unbenutzten Anschluss, um Verschlüsselungsschlüssel beim Booten zu erfassen. Der RaspberryPi ist so eingerichtet, dass er beim Systemstart die binären Nullen und Einsen des TPM erfasst, damit er den Volume-Hauptschlüssel zusammensetzen kann. Sobald er fertig war, entfernte er das verschlüsselte Laufwerk und entschlüsselte das Laufwerk mithilfe eines Entsperrers mit dem Volume-Hauptschlüssel.

Microsoft weist darauf hin, dass diese Angriffe möglich sind, sagt jedoch, dass hierfür ausgefeilte Tools und ein längerer physischer Zugriff auf das Gerät erforderlich wären. Wie das Video zeigt, kann jemand, der bereit ist, den Angriff auszuführen, ihn jedoch in weniger als einer Minute abschließen.

Allerdings gibt es einige Vorbehalte zu beachten. Dieser Angriff funktioniert nur bei externen TPM-Modulen, die CPU muss Daten vom Modul auf dem Motherboard abrufen. Viele neue Laptop- und Desktop-CPUs sind mittlerweile mit fTPM ausgestattet, bei dem kritische Daten innerhalb der CPU selbst gespeichert und verwaltet werden. Microsoft empfiehlt die Einrichtung einer BitLocker-PIN, um diese Angriffe zu blockieren. Dies ist jedoch nicht einfach, da zur Konfiguration der PIN eine Gruppenrichtlinie festgelegt werden muss.