Sicherheitslücke in Hardware-Verschlüsselung bei SSDs: Microsoft veröffentlicht Workaround
-
Martin Geuß
- 7. November 2018
Zahlreiche aktuelle SSD-Festplatten bergen ein Sicherheitsrisiko: Die hardwarebasierte Verschlüsselung ist anfällig für Angriffe, im schlimmsten Fall können die Daten trotz aktivierter Verschlüsselung ausgelesen werden. Betroffen sind populäre Modelle wie die Crucial MX-Serie oder Samsungs EVO sowie T3 und T5, vermutlich aber noch sehr viele mehr.
Aufgedeckt und untersucht wurde die Lücke durch die beiden Niederländer Carlo Meijer und Bernard van Gastel, das Dokument kann als PDF abgerufen werden. Für einen erfolgreichen Angriff muss der Hacker im Besitz des entsprechenden Geräts sein, ein Angriff aus der Ferne ist also nicht möglich. Bei vollem Zugang können die Daten aber trotz aktivierter Bitlocker-Verschlüsselung ausgelesen werden.
Bitlocker unterstützt zwei Verfahren: Die hardwarebasierte und die softwarebasierte Verschlüsselung. Da Erstere per Definition eigentlich sicherer ist, setzt Bitlocker automatisch auf die hardwarebasierte Variante, sofern die Firmware der SSD dies unterstützt. Wenn allerdings die Firmware selbst eine Sicherheitslücke aufweist, wie in diesem Fall, geht der Bitlocker-Schutz natürlich ins Leere.
Microsoft hat daher einen Sicherheits-Ratschlag veröffentlicht und empfiehlt in diesem, auf die softwarebasierte Verschlüsselung umzuschalten. Offenbar geht auch Microsoft davon aus, dass dieses Problem sehr weit verbreitet ist, denn man listet betroffene Modelle gar nicht erst auf, sondern empfiehlt den Wechsel generell.
Mit dem Befehl “manage-bde.exe -status” in einer mit administrativen Rechten gestarteten Kommandozeile kann man sehen, ob die hardwarebasierte Verschlüsselung aktiv ist. Sollte dies der Fall sein, so muss man über die Gruppenrichtlinien die softwarebasierte Verschlüsselung erzwingen.
Man findet die Einstellung unter Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Bitlocker-Laufwerksverschlüsselung / Betriebssystemlaufwerke / Verwendung der hardwarebasierten Verschlüsselung für Betriebssystemlaufwerke konfigurieren.
Ich hab das hier mal illustriert:
Sofern man SSDs als interne oder externe Laufwerke verwendet, muss man die selbe Einstellung auch in den Pfaden “Festplattenlaufwerke” und “Wechseldatenträger” vornehmen.
Es genügt allerdings nicht, die Einstellung zu ändern, Bitlocker muss für die betroffenen Laufwerke zunächst deaktiviert und dann re-aktiviert werden, damit die Daten neu verschlüsselt werden.
Man darf gespannt sein, ob Microsoft in der Zukunft den Standard ändert und auf die softwarebasierte Verschlüsselung setzt, denn die betroffenen SSDs dürften nur durch ein Firmware-Update wieder sicher werden, und es ist recht unwahrscheinlich, dass ein solches alle im Umlauf befindlichen Laufwerke erreicht.
- Quelle: gHacks
Thema:
- Sicherheit
Über den Autor
Martin Geuß
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als 17 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!
