Ingénieur de sécurité [Guillaume Quéré] passe la journée à tester les systèmes de pénétration pour son employeur et a souligné et exploité avec succès une faiblesse assez évidente du système de chiffrement de volume complet BitLocker, qui, comme le dit l’article lié, permet de simplement renifler le trafic entre la puce TPM discrète et le processeur via un bus SPI. Le fonctionnement de Bitlocker consiste à utiliser une clé privée stockée dans la puce TPM pour chiffrer la clé de volume complète qui à son tour a été utilisée pour chiffrer les données du volume. Tout cela est effectué par des pilotes de périphériques de bas niveau dans le noyau Windows et est transparent pour l’utilisateur.
L’objectif de BitLocker était d’empêcher l’accès aux données sur le volume sécurisé en cas de vol ou de perte d’un appareil physique. Le simple fait de tirer le disque et de le déposer dans une machine non sécurisée ou dans un autre adaptateur ne fournirait aucune donnée sans la clé stockée par le TPM. Cependant, étant donné que cette clé doit être transmise en clair du TPM au CPU pendant la séquence de démarrage, [Guillaume] montre qu’il est assez simple – avec des outils très peu coûteux et des logiciels gratuits – de simplement localiser et détecter cette transaction TPM vers CPU, de décoder le flux de données et de localiser la clé. En utilisant à peine plus qu’un analyseur logique bon marché connecté à des broches de grande taille sur une puce flash à proximité (car les broches SCK, MISO et MOSI sont partagées avec le TPM), le simple TIS a été suffisamment décodé pour se verrouiller sur les octets du TPM. cadre. Cela pourrait ensuite être décodé avec une application Web de décodeur de flux TPM, gracieuseté du groupe communautaire du logiciel TPM2. La commande à rechercher est la TPM_CC.Unseal qui est la demande du CPU au TPM d’envoyer la clé qui nous intéresse. Après cela, le simple fait de saisir et de décoder la trame de réponse du TPM révélera immédiatement la marchandise.
Ce que vous faites ensuite est une question de commodité, mais la plupart des types de sécurité et d’investigation seraient déjà hébergés sur un fichier image disque de bas niveau du volume cible. En utilisant la commande Linux xxd pour transformer cette clé de vidage hexadécimal de 32 octets en un fichier de clé binaire, le module dislocker-fuse FUSE peut créer un système de fichiers virtuel déchiffré dynamiquement que vous pouvez simplement monter. Si vous le souhaitez, vous pouvez ensuite écrire les données du volume déchiffrées sur un nouveau disque, les déposer sur une machine et démarrer le système d’exploitation. Vous n’avez probablement pas pu vous connecter, mais comme [Guillaume] souligne qu’en écrasant l’application Sticky Keys (sethc.exe) par cmd.exe, vous pouvez accéder à une invite de commande simplement en appuyant cinq fois sur la touche Maj. Bon temps!
Si vous avez réellement besoin de la prise en charge du TPM pour un système plus ancien, afin d’installer Windows 11 (si vous le devez vraiment), vous pouvez toujours créer le vôtre. De plus, puisque l’interface LPC est présente sur de nombreuses cartes mères, pourquoi ne pas l’exploiter et l’utiliser pour accrocher un adaptateur de bus ISA afin de brancher cette vieille carte Soundblaster classique que vous ne supportiez pas de jeter ?
