【要約】Zero-day exploit completely defeats default Windows 11 BitLocker protections [Ars_Technica] | Summary by TechDistill
> Source: Ars_Technica
Execute Primary Source
// Problem
物理的なデバイス紛失や盗難時に、Windows 11の標準的な暗号化機能が機能しないリスクが浮き彫りになった。攻撃者がデバイスを直接操作できる環境では、以下の問題に直面する。
- ・TPMのみを利用するBitLockerのデフォルト構成が、物理的な攻撃に対して脆弱である。
- ・暗号化されたドライブの内容に対し、回復キーなしでアクセスが可能になる。
- ・攻撃者がドライブ内のデータをコピー、修正、削除できる状態に陥る。
// Approach
攻撃者はTransactional NTFS(TxF)の挙動を悪用し、別ボリュームのファイルを操作する手法を用いる。具体的な攻撃ステップは以下の通りである。
1.攻撃者がカスタムの
FsTxフォルダを含むUSBドライブを作成する。2.ターゲット端末にUSBを接続し、Windows回復環境(WinRE)を起動する。
3.USB上の
FsTxディレクトリが、リプレイ時に別ボリュームのwinpeshl.iniを削除する。4.WinREの制御を奪い、BitLockerを解除した状態でコマンドプロンプト(CMD.EXE)を起動させる。
// Result
Windows 11の標準的なBitLocker保護が、物理アクセスに対して実質的に無効化される。この結果、以下の事態が想定される。
- ・暗号化されたドライブの機密性が、数秒の操作で完全に失われる。
- ・Microsoftによる調査が進められているが、現時点では標準構成での防御が困難である。
- ・セキュリティ専門家は、TPM単体運用ではなくPINを必須とする構成への変更を推奨している。
Senior Engineer Insight
> 物理セキュリティの前提が崩れた。TPM単体運用は、鍵をドアのすぐ横に置く行為に等しい。大規模なデバイス管理を行う組織では、BitLockerの構成を「TPM+PIN」へ即時移行すべきだ。また、BIOSパスワードの併用も検討に値するが、本脆弱性への直接的な効果は不明である。設計段階から「物理アクセスを前提とした攻撃」を考慮した多層防御が不可欠だ。