上周,在混沌通信大会(CCC)上出现的一个新发现动摇了 Windows 可信赖的 BitLocker 加密技术的基础。安全研究员托马斯-兰伯茨(Thomas Lambertz)在其题为 “Windows BitLocker:没有螺丝刀也能拧紧 ”的演讲中暴露了一个明显的漏洞,该漏洞允许攻击者绕过 BitLocker 加密并访问敏感数据,即使是在据称已针对该漏洞打了补丁的系统上也是如此。
这个被称为 “bitpixie”(CVE-2023-21563)的漏洞最初于 2022 年 11 月被微软解决。然而,Lambertz 演示了攻击者如何利用过时的 Windows 引导加载器通过安全启动来提取加密密钥。这种攻击只需要对设备进行瞬间物理访问和网络连接,无需使用螺丝刀或硬件黑客。
其根本原因在于 UEFI 中的证书存储空间有限,而 UEFI 是启动过程中的一个关键组件。新的安全启动证书预计在 2026 年前无法获得。作为临时措施,Lambertz 建议用户为 BitLocker 设置自定义 PIN 或通过 BIOS 禁用网络访问。不过,即使是基本的联网 USB 设备也有可能为攻击提供便利。
虽然普通用户可能不是主要攻击目标,但对企业、政府和其他高安全环境的影响却很大。只需短暂的物理访问就能完全解密设备,这引起了人们对数据保护的严重关注。
对于那些希望进一步探讨这一话题的人,CCC 媒体中心网站上有兰伯特 56 分钟演讲的完整录音。它深入探讨了错综复杂的技术问题,并解释了为什么解决这一漏洞会带来如此艰巨的挑战。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容