Una vulnerabilidad crítica en el cifrado de disco completo de BitLocker de Microsoft indica que se puede pasar por alto en menos de 5 minutos utilizando un ataque de solo software llamado “BitPixie” (CVE-2023-21563).
Se han publicado exploits de concepto público (POC), destacando la gravedad del riesgo para millones de dispositivos de Windows que dependen de los bitlockers antes de la autenticación de arranque.
Cómo funcionan los ataques de bitpixie
A diferencia de los ataques tradicionales basados en hardware que requieren manipulación física, soldadura o equipo especializado, la vulnerabilidad de BitPixie permite que un atacante extraiga completamente la tecla maestra de volumen (VMK) de BitLocker a través del software.
Este método no invasivo no deja rastros permanentes y no requiere una imagen de disco completa, por lo que es particularmente atractiva para los equipos rojos y enemigos dirigidos a las computadoras portátiles robadas o no tripuladas.
La vulnerabilidad se debe a un defecto en el manejo del proceso de reinicio de PXE Soft en Windows Boot Loader. Si el arranque falla y el sistema intenta recuperar la red, el cargador de arranque no puede borrar el VMK de la memoria. Al aprovechar esta vigilancia, un atacante puede acceder al VMK y descifrar el disco protegido.
Dos rutas de ataque: Linux y Windows PE Edition
Los investigadores demostraron dos estrategias de explotación importantes.
Ataques basados en Linux (BitPixie Linux Edition):
Shift+REBOOT.PXE Ingrese su entorno de recuperación de Windows en la versión vulnerable de Windows Boot Manager desde Boot+ReBoot. Manipule los datos de configuración de arranque (BCD) para activar un reinicio suave PXE. Carga de cadena Carga las cuñas Linux firmadas, Grabs y Kernels de Linux. Use el módulo del núcleo para escanear la memoria física del VMK. Monte el volumen encriptado con el VMK extraído utilizando el controlador de fusibles deslocker. Este método funciona siempre que el dispositivo no requiera autenticación previa al botín (como un PIN o una tecla USB).
Ataques basados en Windows PE (BitPixie Winpe Edition):
Para los sistemas que bloquean los componentes firmados de terceros de terceros (como las PC de Security Core), los atacantes solo pueden usar componentes de Microsoft.
Carga una imagen de WinPE que contiene WinLoad.efi, ntoskrnl.exe y otros componentes firmados de Microsoft. Escanee la memoria del VMK utilizando una versión personalizada de WinPMem. Extraiga la contraseña de recuperación de los metadatos de bitLocker y desbloquee el volumen.
Este enfoque se puede aplicar a los dispositivos que confían en los certificados PCA 2011 de producción de Microsoft Windows.
Los POC público publicados por los investigadores automatizan estas cadenas de ataque, lo que permite compromisos rápidos en cinco minutos. La velocidad y la naturaleza no invasiva del ataque es un riesgo importante, especialmente en escenarios que involucran computadoras portátiles perdidas o robadas que solo están protegidas por BitLockers basadas en TPM sin autenticación adicional.
Una mitigación importante contra BitPixie y ataques similares es realizar la autenticación previa al botín, que requiere un PIN, la tecla USB o el archivo de llave antes del arranque del sistema. Esta capa adicional evita que el atacante acceda a VMK, incluso si puede manipular el proceso de arranque.
“Las vulnerabilidades de Bitpixy, en general, los ataques basados en hardware y basados en software, pueden mitigarse aplicando la autenticación previa al botín”, enfatizan los investigadores.
Se recomienda que las organizaciones que dependen únicamente de BitLocker Protection basada en TPM verifiquen rápidamente sus actitudes de seguridad e implementan la autenticación previa al botín para proteger los datos confidenciales.
La vulnerabilidad de BitPixie expone un camino de ataque arriesgado al cifrado de BitLocker, haciendo que la prueba práctica de concepto esté disponible. Este desarrollo destaca la necesidad de mediciones de autenticación robustas y el riesgo de confiar en la configuración predeterminada del cifrado de disco.
Cómo los piratas informáticos de simulación de ataque de vulnerabilidad sondean rápidamente sitios web de puntos de entrada: seminario web gratuito
