YellowKey: Bitlocker backdoor gefunden

[Burfi]

Ist dies hier auf Computerbase keine News wert?
https://www.tomshardware.com/tech-i...day-exploit-demonstrates-an-apparent-backdoor

tldr:
Absichtliche Backdoor in Bitlocker für Windows 11, Server 2022 und 2025 (nicht Windows 10).
Haarsträubend daran: Es löscht sogar die files nach dem exploit auf dem USB Stick.

 

[Nilson]

Ist dies hier auf Computerbase keine News wert?

https://www.computerbase.de/tipp/

 

[Azghul0815]

Krass. Für daheim eher irrelevant, aber am Laptop...

 

[Tornhoof]

Absichtliche Backdoo

Wie kommst du denn auf absichtlich?

Ah, das sieht eher nach State actor Zugriff aus, ob jetzt von MS gewollt oder nicht

 

[Azghul0815]

Annahme der Entdecker gemäß Artikel.

 

[Burfi]

@Tornhoof Hast du den verlinkten Artikel gelesen?

 

[Zer0DEV]

Andere Theorie: Das ist so gewollt, da ansonsten kein PC-Repair durch Dritte funktioniert...

 

[Tornhoof]

Der Artikel ist eine ziemlich bescheidene Zusammenfassung diverser Schwachstellen ohne saubere Referenzen. Fokussiert sich mehr auf die Fehde zwischen dem researcher und MS. Man könnte auch puff-piece dazu sagen.

Der interessante Knackpunkt der in https://github.com/Nightmare-Eclipse/YellowKey
aufgeführt ist, oder auch hier
https://winfuture.de/news,158701.html

Ist dass das ganze nur in WinRE vorhanden ist und der normale Windows Code den Code zwar beinhaltet, aber nicht ausführbar ist und er daher davon ausgeht dass es Absicht ist.

 

[Azghul0815]

https://www.itnews.com.au/news/usb-stick-opens-windows-bitlocker-drives-in-new-zero-day-625859

Hier steht zumindest, dass er auch unter Win11 geht

 

[Tornhoof]

Eh es geht nur auf Win11 (+ Server Varianten davon), der Teil der relevant ist, ist aber WinRE.

 

[incurable]

Wer Microsoft traut, ist von allen guten Geistern verlassen.

 

[mchawk777]

Von dem was aktuell bekannt/nachweisbar ist, dürfte ein manuelles BitLocker-Passwort erst mal schützen.

Aber es steht ja die Aussage im Raum, dass auch jenes umgangen werden kann.
Da muss man mal die nächste Zeit abwarten ob und was sich tut - bzw. ob sich diese Behauptung bestätigt.

 

[PC295]

Haarsträubend daran: Es löscht sogar die files nach dem exploit auf dem USB Stick.

Mit dem FStX-Ordner wird ein laufendes Windows-Feature-Upgrade simuliert, wobei temporär Bitlocker angehalten wird.
Windows löscht nach Abschluss solche temporären Dateien von selbst. Das ist völlig normal und nichts haarsträubendes daran.

Absicht würde ich MS da auch nicht vorwerfen, einfach nur Schlamperei.

Das eigentliche Einfallstor ist wiedermal WinRE selbst.
Wer mehr Sicherheit haben will, deaktiviert die Wiederherstellungsumgebung (reagentc /disable).
Für die Reparatur und Wiederherstellung kann notfalls auch eine aktuelle Windows 11 ISO oder Reparaturdatenträger verwendet werden.
Neben den Bitlocker-PIN sollten auch die UEFI-Einstellungen per Passwort geschützt werden. So kann ohne Passwort nicht von USB/DVD gebootet werden bzw. das Bootmenü aufgerufen werden.

Immerhin blockiert bereit der Windows Defender bereits den Exploit:

 

[nutrix]

Wer Microsoft traut, ist von allen guten Geistern verlassen.

Was ist das für ein dummes wie pauschal falsches Statement? Genau das kannst Du auch allen Herstellern wie Softwareproduzenten oder vielen anderen unterstellen.

Natürlich mußt Du immer, egal was Du verwendet, zum Teil vertrauen, und sei es die Funktionalität und den Nutzen, den es bringt. Wenn Du gar kein Vertrauen hast, darfst Du - so gesehen - gar nichts benutzen.

 

[Cebo]

Ist Snowden echt schon wieder so lange her das seine Enthüllungen vergessen sind? US Unternehmen sind per Gesetz dazu verpflichtet mit Geheimdiensten zusammen zu arbeiten. Von einer absichtlichen Backdoors MUSS man also immer ausgehen. Da dran ist nichts überraschend.

Gegen den Gelegenheitsdieb eines Laptops sollte Bitlocker trotzdem effektiv sein .... zumindest bis die Lücke öffentlich bekannt wird. Und da liegt das Problem.

 

[PC295]

US Unternehmen sind per Gesetz dazu verpflichtet mit Geheimdiensten zusammen zu arbeiten.

Was nicht heisst, dass Hintertüren in Verschlüsselungen eingebaut werden müssen. Das wird häufig von Verschwörungstheoretikern in den Snowden-Berichten hineininterpretiert.

 

[incurable]

Was ist das für ein dummes wie pauschal falsches Statement? Genau das kannst Du auch allen Herstellern wie Softwareproduzenten oder vielen anderen unterstellen.

Über den Zeitpunkt der Unterstellungen sind wir bei Microsoft, siehe Nachricht, offensichtlich längst hinweg.

Natürlich mußt Du immer, egal was Du verwendet, zum Teil vertrauen, und sei es die Funktionalität und den Nutzen, den es bringt. Wenn Du gar kein Vertrauen hast, darfst Du - so gesehen - gar nichts benutzen.

Vogelscheuchen gehören aufs Feld.

 

[Darkman.X]

Immerhin blockiert bereit der Windows Defender bereits den Exploit:

[IMG]https://www.computerbase.de/forum/attachments/1778838659119-png.1729081/[/IMG]

Interessant, bei mir blockiert der Defender den Exploit nicht.

Ich habe es aus Neugierde mal getestet. Ich habe dazu meinen Win11-Installations-USB-Stick mit FAT32 genommen und das FsTx-Verzeichnis in das "System Volume Information"-Verzeichnis kopiert.

1. TPM ohne PIN:
Ich hatte getestet:

• In einem ungesperrten Windows den modifizierten USB-Stick eingesteckt und dann Windows neu gestartet.*
• In einem mit WIN+L gesperrten Windows den USB-Stick eingesteckt und neu gestartet.*
• In einem gesperrten Windows, bei dem noch kein User eingeloggt war, den USB-Stick eingesteckt und neu gestartet.*

In allen 3 Fällen war meine Windows-Partition nach dem Neustart entsperrt.


2. TPM mit PIN:
Ich hatte getestet:

• In einem ungesperrten Windows den modifizierten USB-Stick eingesteckt und neu gestartet.*
• In einem gesperrten Windows, bei dem noch kein User eingeloggt war, den USB-Stick eingesteckt und neu gestartet.*

In beiden Fällen wurde ich nach dem Neustart nach der PIN gefragt. Ich konnte die Abfrage zwar mit ESC abbrechen, aber in der Reparatur-Konsole war die Windows-Partition dann gesperrt.

Tja, was soll man dazu noch sagen? MS empfiehlt in seine Bitlocker-Dokumentation schon seit langem, dass man TPM mit PIN nutzen soll, weil das PIN-lose TPM wohl schon andere Schwächen hat.

Das Thema wird in meinen Augen mehr dramatisiert als es in Wirklichkeit ist. Oder ich habe etwas übersehen / falsch verstanden.
Doof halt für Unternehmen, die auf Laptops das PIN-lose TPM nutzen, wie z.B. mein Arbeitgeber. 🤷‍♂️


* = Mit gedrücktem SHIFT auf Neustart geklickt und dann STRG gedrückt halten, bis die Wiederherstellungs-Konsole gestartet war. Wie auf Github beschrieben.

 

[mchawk777]

Interessant, bei mir blockiert der Defender den Exploit nicht.

Das ist ja eines meiner zentralen Punkte, die zumindest für mich den Microsoft Defender als nicht zuverlässig genug abstempeln:

Auch bei den Tests von "The PC Security Channel", die mit Screenrecorder aufgezeichnet werden, kamen ein Fall vor, bei denen der Defender einen bereits jahrelangen bekannte Verschlüsselungs-/Erpressungstrojaner durchwinkte - obschon die Datei lt. virustotal vom Microsoft Defender erkannt wurde. 🤷‍♂️

Oder anders: Die Leistungen dieser Software sind zu schwankend / nicht stabil genug, um deren Einsatz wirklich empfehlen zu können.

Das Thema wird in meinen Augen mehr dramatisiert als es in Wirklichkeit ist.

Deine Tests decken sich ja mit dem, was hochoffiziell bekannt ist.

Die Dramaturgie oder Sorge entsteht durch die Behauptung, dass Bitlocker auch mit manuell einzugebender PIN umgangen werden kann. Nur hier fehlt halt der (öffentliche) Nachweis.

 

[hm1]

Hallo,

hätte drei Fragen, vielleicht weiß ja jemand darüber Bescheid

ich nutze Bitlocker seit Jahren nur auf Daten-SSD´s und gänzlich ohne TPM. Daher kann ich mich bei BIOS-Updates auch relativ entspannt zurücklehnen . Ich denke das schützt mich gegen Yellowkey ABER ...

Automatische Entsperrung: Deaktiviert
Schlüsselschutzvorrichtungen:
Kennwort
Externer Schlüssel
Numerisches Kennwort

Das "Numerische Kennwort" scheint der RecoveryKey zu sein, welcher bei der Initialisierung auf einen externen Datenträger gespeichert oder auf Papier ausgedruckt werden muss.

Das "Kennwort" scheint mein Kennwort zu sein mit dem ich die Laufwerke entsperre. Soweit so gut.

Frage 1: Was ist dann aber der "Externe Schlüssel"?

Für meine zweite Frage muss ich etwas ausholen, weil mir Bitlocker auf der Systemplatte immer schon komisch vorkam (bzw. ich mich einfach nicht richtig informiert habe)... Im Standard veranlasst der Windowslogin den TPM-Chip den Bitlocker Key freizugeben, oder? Traditionell scheinen Windowspassworter aber nicht so besonders zu sein zB. mittels numerischer PIN sollte das ja absurd einfach zu knacken sein. - Da braucht es oft kein Yellow Key, zumindest im privaten Umfeld.

So, jetzt kommt als Empfehlung eine Preboot Authentification mittels PIN hinzu, was im Zusammenhang mit Yellowkey immer als "TPM+PIN" bezeichnet wird.

Frage 2: Was genau entsperrt der Preboot PIN? Wenn der nur den TPM entsperrt, muss ich wieder darauf vertrauen, dass kryptografisch alles sauber abläuft und wieder kein Mist passiert...

Frage 3: Gibt es einen Modus bei dem man die Systemdisk mittels komplexen Passwort im Bootloader ganz ohne TPM entsperren kann?

Danke