BitLocker sigue siendo inseguro en dispositivos modernos, recuperación de claves solo ligeramente difícil
Anteriormente señalamos cómo se tarda menos de un minuto en romper la encriptación de BitLocker utilizando un Raspberry Pi Pico. Ahora, resulta que las PC modernas con TPM 2.0, la última versión, que ejecutan Windows 11, también están en riesgo de sniffing de claves. ¡Y no se necesita mucho más esfuerzo!
Fue señalado por un investigador de seguridad que se hace llamar stacksmashing en X (anteriormente Twitter). Esto fue en respuesta a varios usuarios que afirmaban que las laptops modernas son altamente seguras y que eludir la encriptación de BitLocker no es posible.
Para todas las personas que dicen que esto no funciona en hardware nuevo:
Esta es una máquina de 2023, con TPM 2.0 y ejecutando Windows 11… https://t.co/wJsJiDTyfk — stacksmashing (@ghidraninja) 7 de febrero de 2024
El investigador de seguridad había detallado previamente, en un video de YouTube, el proceso para recuperar la clave de recuperación de BitLocker y acceder a los datos encriptados.
Dado que el proceso empleado aquí utiliza la comunicación no segura entre la CPU y el chip TPM (Trusted Platform Module), es posible recuperar la clave de encriptación de BitLocker siempre que los dos estén colocados de manera distinta.
Recuperación de clave de BitLocker en laptops modernas
En otra publicación, Stu Kennedy, también investigador de seguridad, explicó cómo soldar directamente a los pads correctos en un Lenovo X1 Carbon Gen 11, lanzado en abril de 2023, permitió que el analizador lógico obtuviera el VMK de BitLocker (Volume Master Key).
Recuperación de clave de BitLocker en un Windows 11, Lenovo X1 Carbon Gen 11 a través de SPI Sniffing.
El TPM en la parte posterior de la placa base, hay varios pads de prueba. pic.twitter.com/JGu0riEr1c — Stu Kennedy (@NoobieDog) 7 de febrero de 2024
En su página de GitHub, Kennedy ha listado los pasos para recuperar la clave de BitLocker de varias laptops modernas, junto con el hardware requerido para el trabajo. La lista de laptops incluye Microsoft Surface Pro 3 y Dell Latitude E5470 (entre otros), ambos con chips TPM 2.0.
Según Kennedy, una de las formas de mantenerse seguro de esta vulnerabilidad es habilitar BitLocker con una clave de seguridad o PIN. Esto actuará como autenticación previa al arranque y evitará que los dispositivos de sniffing recuperen el VKM, ya que se liberará solo después de que se ingrese la clave de seguridad.
Además, el problema parece afectar a dispositivos que cuentan con un chip TPM separado y dedicado.
¿Debería preocuparme por esto?
Si estás demasiado preocupado, ¡no lo estés!
La vulnerabilidad solo puede ser explotada mientras el actor de la amenaza tenga acceso físico al dispositivo. ¡Acceder a través de la web no servirá!
Deberías estar más preocupado por infectar la PC con malware desde la web. Y para eso, practicar una buena higiene cibernética y contar con una solución antivirus efectiva es todo lo que necesitas.
Tales vulnerabilidades han existido en el pasado y se han rectificado a lo largo del tiempo. En este caso, también podríamos ver chips TPM integrados en la CPU o autenticación previa al arranque opcional impuesta por los fabricantes para eliminar los riesgos.
¿Cuáles son tus pensamientos al respecto? Compártelos con nosotros en la sección de comentarios a continuación.
