Passwort für Pre-Boot-Authentication bleibt im Klartext liegen
Weil gängige Festplattenverschlüsselungs-Tools das eingebene Passwort im Speicher nicht löschen, können Angreifer es im Klartext auslesen. Dazu ist aber der Zugriff auf den Rechner notwendig - es sein denn, ein Trojaner liest es aus.
- Daniel Bachfeld
Einem Bericht des Sicherheitsdienstleisters iViZ Techno Solutions weisen bekannte Festplattenverschlüsselungs-Tools und Boot-Manager eine Schwäche auf, durch die Angreifer an das benutzte Passwort gelangen können. Ursache des Problems ist, dass die gängigen Tools nach der Abfrage des Passworts offenbar vergessen, die im Klartext im Speicher abgelegte Zeichenkette zu löschen. In der Regel tritt dieses Problem bei Produkten auf, die für die Pre-Boot-Authentifizierung mittels Passwort die Funktionen des BIOS benutzen.
Sofern das Produkt das Passwort nicht selbst löscht, bleibt es im Speicher an der Adresse 0x40:0x1e bis zum Abschalten liegen. Um es auszulesen, muss ein Angreifer allerdings physischen Zugriff auf das Gerät haben -- und zwar nach der Eingabe des Passwortes und dem Bootvorgang. Dies dürfte die Relevanz eines solches Angriffs allerdings erheblich einschränken, da in diesem Fall der Angreifer bereits vollen Zugriff auf Daten, Betriebssystem und Anwendungen hat. Interessant wird der Angriff nur, wenn ein Trojaner das Passwort ausliest und der Angreifer anschließend etwa das Laptop stiehlt. Zudem könnte der Angreifer bei der mehrfachen Verwendung des selben Passwortes für weitere Dienste oder Mail-Verschlüsselung noch von der Kenntnis des Passwortes profitieren.
Betroffen sind Microsoft BitLocker, Lilo, Grub, DriveCrypt, TrueCrypt, DiskCryptor sowie die BIOSse von IBM, Lenovo und Hewlett Packard. Die Hersteller wurden von iViz informiert, haben aber unterschiedlich reagiert. Laut Bericht hat Microsoft das Problem in Vista mit Service Pack 1 behoben, die Entwickler von Lilo und Grub sollen selbst gar nicht reagiert haben. Dafür sollen die verschiedenen Linux-Distributoren bereits an eigenen Lösungen arbeiten. Die Entwickler von IBM, DriveCrypt und DiskCryptor haben sich tot gestellt. Intel und Hewlett Packard haben indes das Problem bestätigt und sollen an einer Lösung arbeiten. Die Programmautoren von TrueCrypt sollen das Problem bestritten haben, was aber daran liegen könnte, dass iViz die Version 5.0 getestet hat, derzeit aber bereits 6.0a vorliegt.
Siehe dazu auch:
- Security Advisories, Liste der Fehlerberichte von iViz
- Bypassing pre-boot-authentication passwords by instrumenting the BIOS Keyboard buffer, Whitepaper von iViz
(dab)
