윈도우 BitLocker 취약점 발견

윈도우 BitLocker에서 취약점이 발견

Windows Bitlocker disk encryption could be easily bypassed

최근 MS는 Windows BitLocker드라이버의 취약점을 패치 했습니다. 이 취약점을 이용하면 사용자가 암호화 시켜 놓은 중요 문서들을 공격자가 쉽게 탈취할 수 있습니다.

※  BitLocker란?

접근이 허가되지 않은 사람이 디스크에 물리적으로 접근하거나 취즉했을 때 어떠한 방법으로도 내용을 열람할 수 없도록 하기 위해 고안된 디스크 암호화 기능으로, Windows7 Enterprise 버전 이상부터 탑재가 되어 있습니다. 기능적으로는 부팅 드라이브 암호화(BitLocker)와 이동식 디스크 암호화(BitLocker To Go)로 구분됩니다.

공격방법

Synosys보안전문가 Ian Haken의 최근 연구에 따르면, BitLocker의 보안기능은 우회 할 수 있으며, 그 과정도 복잡하지 않다고 하였습니다. 

보고서에 따르면, 만약 개인 컴퓨터가 도메인에 연결되어 있거나 혹은 권한이 있는 사용자가 해당 컴퓨터를 이용해서 로그인을 한 적이 있다면 공격자는 사용자가 이전에 사용했었던 비밀번호를 이용하여 임의의 도메인 컨트롤러를 만들어 공격할 수 있습니다. 

이번 취약점을 테스트를 해보기 위하여 목표 기기가 MISKTONIC도메인 및 사용자 이름이 ihaken이라고 가정한 후 Debian Linux에서 Samba를 이용하여 공격을 해보았습니다. 

 

공격을 할 때, 공격자는 네트워크 중에서 도메인과 사용자 아이디를 획득한 후, 네트워크를 통해 식별한 도메인컨트롤러에 목표 디바이스를 연결시킵니다. 

그 후 해커는 도메인 사용자가 이전에 사용했었던 비밀번호(“password!23”)으로 로그인을 합니다. 해당 비밀번호는 이미 만료되었기 때문에, 컴퓨터는 해커에게 새로운 비밀번호를 설정하도록 합니다. 그 후 해당 컴퓨터의 네트워크를 끊은 다음에 새로운 비밀번호로 로그인을 하면 됩니다. 

일단 로그인이 된다면, 해커는 사용자가 암호화 시켜놓은 모든 DB, 예를 들어 이메일, 저작권 관련 자료, 비밀번호, 로그 기록 등에 접근이 가능합니다. 만약 사용자가 로컬 관리자라면, 해커는 커널 내부에 있는 BitLocker키를 얻을 수 있습니다. 

MS 패치

MS는 이번에 해당 취약점을 패치하였으며, 최신 보안업데이트 중 이번 취약점에 대한 패치도 포함되어 있습니다. (https://technet.microsoft.com/library/security/MS15-122)

참고 :

https://www.blackhat.com/docs/eu-15/materials/eu-15-Haken-Bypassing-Local-Windows-Authentication-To-Defeat-Full-Disk-Encryption-wp.pdf

http://securityaffairs.co/wordpress/42043/hacking/windows-disk-encryption-bypassed.html