Romper la clave BitLocker con un dispositivo? No te alarmes!
By Dani Alonso On 26 Mar, 2019 At 12:50 PM | Categorized As Seguridad, Windows 10 | With 0 Comments



Hace un par de días saltaron las alarmas sobre una supuesta forma de obtener la clave de encriptación de BitLocker usando una tarjeta que apenas cuesta 25 euros. Y bueno, se puede decir que efectivamente un experto en ciberseguridad llamado Denis Andzakovic de Pulse Security ha logrado hacerlo en varios PCs! Pero ojo, antes de echarnos las manos a la cabeza vamos a analizar de qué se trata… No voy a tratar de desmentirlo, sino aclararlo!

Como todos sabéis, Windows 10 ofrece la posibilidad de cifrar los discos duros y otras unidades de almacenamiento que usamos en nuestro equipo utilizando BitLocker, incluido con el sistema. La ventaja de cifrar las unidades de disco con BitLocker, es que todo el contenido queda codificado. Si un troyano roba datos del discos duro, o alguien nos roba físicamente el PC, no podrá acceder al contenido si no conoce la clave de cifrado de BitLocker. Denis Andzakovic ha conseguido obtener la clave de cifrado de BitLocker, usando un dispositivo que se puede comprar por apenas 25 euros.

Qué ocurre en realidad?

La supuesta vulnerabilidad se produce cuando los discos duros están cifrados con BitLocker, pero Windows no está protegido por contraseña. El sistema operativo descifra los discos para leer los datos a través del módulo TMP del procesador, y para ello tiene que enviar la clave a través del bus LPC. Lo que ha hecho este experto de seguridad es construir un dispositivo con un array de puertas programable llamado FPGA, que apenas vale 25 euros, para interceptar la clave de BitLocker.

Cada vez que recibía un mensaje, se aseguraba de que la dirección de lectura de la memoria fuera 0x0024 y luego decodificara el byte de datos. El campo de datos LPC está en little endian, con el nibble menos significativo primero. Largas horas obteniendo información y resaltando el proceso de decodificación…

Después de pasar por la captura, finalmente terminó con el VMK completo (resaltado en rosa):

Conectando este hardware tanto a un Microsoft Surface Pro con TMP 2.0, como a un portátil HP con TMP 1.2 con Windows sin proteger mediante contraseña, ha conseguido extraer la clave de cifrado de BitLocker durante el arranque del sistema, y descifrar los discos duros para leer su contenido. OMG!! Tranquilos… 🙂

 

Tiene muy fácil solución

Pero no hay que alarmarse, ya que bloquear esta vulnerabilidad es sencillo. Tan solo hay que usar un PIN o contraseña en el arranque de Windows.

Por tanto, si usas un PC con el disco cifrado, añade también un PIN o una contraseña a Windows para obtener una seguridad completa. Es cierto que puede resultar molesto introducir una contraseña cada vez que arrancas el PC, pero por seguridad merece la pena!

Más info sobre protección BitLocker: https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-countermeasures

 

 

 

About - Geek ibérico (Cloud Solutions Principal Advisor). Microsoft MVP Cloud and DataCenter Management. Especialista en ciberseguridad empresarial y soluciones cloud. Perito Judicial Informático Forense, MCSA Office 365, Cloud Platform & Windows 10; MCSE Productivity, Messaging & Cloud Platform and Infrastructure, MCSD Azure Solutions Architect, STEP Member, CISSP, CCNA, MCT, MCITP, MOS Master, ...y colega! :-)