BitLocker Cold Boot Hack

Cold Boot Angriff: Hacken von Microsoft BitLocker

Cold Boot Angriff erfolgreich durchgeführt! Dies ist ein Gastartikel von Herrn Trotha, der gerne seine Erfahrung mit dem BitLocker Cold Boot Hack teilen möchte:

Die Ausgangssituation

Primäre Situation: Der BitLocker mit TPM und PIN ist eingerichtet, jedoch fährt der Laptop nur noch bis zum Anmeldebildschirm hoch und friert dann ein. Maus und Tastatur sind nicht mehr bedienbar, auch ist der Zugriff über LAN oder WLAN nicht mehr möglich. Reparaturen sind nur mit dem Recovery-Key möglich. Dieser ist nicht mehr auffindbar. Warum kann nicht geklärt werden.

Alternative Situation: Ein Notebook ist mit BitLocker verschlüsselt (mit TPM Schutz oder auch TPM + PIN Schutz) und es gibt ein Problem bei der Windows Anmeldung, z.B. durch ein vergessenes Windows Passwort. Auch in dieser Situation würde ein Wiederherstellungsschlüssel helfen, jedoch ist dieser dem Anwender nicht bekannt oder er wurde verloren.

DELL Latitude E6450 Premium Laptop
DELL Latitude E6450 Premium Laptop (Quelle: DELL)

Bei dem Referenzsystem handelt es sich um ein DELL Latitude E6540 mit Intel i7, 8GB RAM und einer 250GB SSD und aktuellem Windows 10 Betriebssystem. Secureboot ist eingeschaltet.

TPM Spezifikationen:

Sicherheitshinweis: Der Angriff ist weder DELL spezifisch, noch hat DELL eine schlechter Security implementiert als andere Notebook Hersteller. Der Angriff funktioniert selbstverständlich auch auf anderen Notebooks. Solltest Du den Angriff ausprobieren, dann bitte auf eigenes Risiko. Obwohl nicht wahrscheinlich, kann der RAM oder das Motherboard defekt werden.

Das Vorgehen bei dem Cold Boot Angriff

Da ich das Zielsystem (und die wichtigen Daten darauf) nicht beschädigen will, habe ich zum vorher Testen ein baugleiches Notebook genommen und auch hier BitLocker eingerichtet. Nur der CPU ist eine Intel i5.

Natürlich geht es ausschließlich darum an die verschlüsselten Daten heranzukommen von denen man kein Backup hat und nicht darum, um den Notebook neu aufzusetzen. Das Neuaufsetzen funktioniert, egal ob BitLocker verschlüsselt oder nicht, schnell und einfach mit dem Microsoft Media Creation Tool, kostenfrei herunterladbar unter: https://www.microsoft.com/de-de/software-download/windows10

RAM Dump

Benötigt wird:

  • Ein Kältespray
  • eine USB SSD (bevorzugt) oder eine USB HDD

Nach dem Erstellen des Boot USB SSD, habe ich den Memory-Dump getestet.

Ein Memory-Dump (DUMP) ist ein Vorgang, wo der gesamte Hauptspeicher also z.B. 4 GB oder 8 GB als eine Datei auf ein Speichermedium (USB-Stick, SSD, HDD) geschrieben wird. Ein Memory-Dump wir auch Speicherauszug genannt. So ein Speicherauszug ist praktisch, da man in der Datei mit beliebigen Tools, also Windows Tools aber auch Linux Tools nach Inhalten – und in unserem Fall nach dem BitLocker Schlüssel – suchen kann. Der Speicherauszug kann beliebig kopiert werden und die Inhaltssuche kann somit mehreren Geräten gleichzeitig erfolgen, so kann auch eine Brute-Force Attacke erfolgen.

Hier kommt jetzt das Problem, dass die SSD nur im Legacy Mode gebootet werden kann. Somit muss Secureboot deaktiviert werden, dieses hat aber zur Folge, dass Windows nach der PIN Eingabe den Recovery Key verlangt. Wenn aber Secureboot wieder aktiv ist, dann fährt Windows nach der PIN Eingabe wieder normal hoch, somit werden hier wohl keine Änderungen gespeichert.

Auch habe ich die Änderung der RAM Größe untersucht. Auch hier ist BitLocker unbeeindruckt, sprich man kann ohne Probleme kleinere RAM Module verbauen. Somit wurde jetzt das Laptop von 8 auf 4GB umgebaut. Wodurch die Dauer der Memory-Dump-Prozess in meinem Fall nur ca. 4 Minuten beträgt.

Cold Boot: Let´s Hack

Unverzichtbar für den Cold Boot Hack: ein Kältespray zum kühlen des RAMs
Kältespray, Quelle: Liqui Moly

Die Boot USB SSD, Kältespray und Küchenrolle ist bereitgelegt, der Laptop Akku vorsorglich ausgebaut und das System mit externem Netzteil wird über die intern verbaute und BitLocker verschlüsselte SSD bis zur Loginmaske hochgefahren. Jetzt mit dem Kältespray den RAM stark abkühlen. Hier langsam Kühlen, somit wird der RAM richtig kalt und es entsteht wenig Eis. Während der nachfolgenden Schritte, habe ich den RAM weiter mit dem Kältespray gekühlt. Nach ca. 2 Minuten habe ich den Rechner hart ausgeschaltet, indem ich den Netzteil Stecker gezogen habe.

Warum eigentlich wird der Kältespray für das Kühlen der RAMs benötigt? Ganz einfach, RAMs verlieren ohne Strom sehr schnell ihren Informationsinhalt. Je wärmer der RAM ist, desto schneller geht der Inhalt verloren. Wenn jedoch Strom zugeführt wird, dann erfolgt ein Auffrischen der Speicherzellen durch einen automatischen Refresh. Mit dem Kältespray kann der Informationsverlust des RAMs ohne Strom auf wenige Minuten ausgedehnt werden. Genau dieser Effekt wird beim Cold Boot Angriff auf den BitLocker benötigt.

Stecker sofort wieder rein und Rechner wieder einschalten. In das BIOS gehen und Secureboot abschalten und Legacy Boot aktivieren. Dann das System neustarten und diesmal von der USB SSD booten. Der DUMP wird gestartet. Nach ca. 4 Minuten ist das Programm fertig.

Den Rechner wieder hart ausschalten, den RAM ausbauen und mit der Küchenrolle abtupfen. Hier auch schauen, ob Feuchtigkeit im Rechner entstanden ist und ggfls. mit der Küchenrolle aufsaugen. Somit wird eine dauerhafte Beschädigung der Teile reduziert.

Das Disk Image für den Cood Boot Angriff

Die verschlüsselte Festplatte/SSD muss ich aus dem Rechner ausbauen und an einem anderen Windows Rechner anschliessen. Hier nun mit Winimage ein VHD Image der Festplatte erstellen. Dieses hat dann die Netto Kapazität der verschlüsselten Platte. Das 250GB Image habe ich auf einer großen 1TB SSD gespeichert.

Das Auslesen des BitLocker Schlüssels

Cold Boot Attacke - BitLocker Hack durch Memory-Dump und Kältespray

Mit dem Tool Passware ist es möglich beide Dateien (RAM Dump und Festplatten Image) gegeneinander laufen zulassen. Nach ca. 15 Minuten, war der Recovery-Key auf dem Monitor zu sehen.

Nach dem es gut mit dem Testlaptop geklappt hatte, wurde der Prozess bei dem eigentlichen Laptop gestartet. Dieses schlug aber fehl. Nach fünf Versuchen, wurde der RAM länger (10 Minuten) gekühlt, bis der Rechner ausgeschaltet wurde. Erst mit diesem DUMP konnte der Key ausgelesen werden. Somit konnte nach meiner Meinung nachgewiesen werden, dass der Key nicht sofort im RAM zu finden ist. Hier dauert es wohl einen Moment, bis dieser in den RAM geschrieben wird. Durch das sofortige einfrieren des Betreibsystems, hat dieses wohl etwas länger gedauert.

Cold Boot BitLocker Hack: Fazit

Ja, es ist möglich über die Cold Boot Attacke den BitLocker Recovery-Key (auf Deutsch den BitLocker Wiederherstellungsschlüssel) auszulesen. Hier müssen aber einige Punkte gegeben sein.

  1. Es wird nicht sofort nach dem BIOS der BitLocker Recovery Schlüssel verlangt.
  2. Der Rechner fährt noch bis zum Loginscreen hoch, oder zumindest lädt er den BitLocker Schlüssel aus dem TPM

Somit ist auch klar, dass BitLocker im Transparenten Modus, ohne PIN, SmartCard-Schutz oder USB-Stick nicht sicher ist. Ein Angreifer, der sich wiederrechtlich den Rechner beschafft hat, kann über diese Möglichkeit in kurzer Zeit den Wiederherstellungsschlüssel auslesen. Ds hat zur Folge hat, dass er Zugriff auf alle gespeicherten Daten bekommt und Passwörter im System zurücksetzen kann.

Empfehlungen die den Cold Boot Angriff vereinfachen:

  • Den Arbeitsspeicher reduzieren, um die Zeit beim DUMP zu verkürzen.
  • Eine kleine Festplatte! Hier kann man nur Glück haben, dass die Festplatte nicht zu groß ist, da hier ja ein Image erstellt werden muss. Dieses kann natürlich bei 4 oder 8TB HDDs Stunden dauern und es muss eine noch größere Festplatte, besser SSD, verfügbar sein.

Der Autor Herr Trotha ist Dienstleister und unterstützt bei rechtmäßigem Bedarf bei einem solchen Angriff.

Den Kontakt stelle ich gerne her, poste einfach hier in dem Artikel oder schreibe mir eine Nachricht über das Kontaktformular.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.