In tanti nostri articoli abbiamo detto che per proteggere efficacemente i dati memorizzati su un PC protetto tramite BitLocker è importante attivare la protezione TPM+PIN. È cioè necessario attivare la protezione BitLocker su hard disk e SSD e chiedere una password all’avvio: si tratta della richiesta del PIN pre-boot ovvero di una verifica formale prima del caricamento del sistema operativo.
Abilitando la protezione TPM+PIN in BitLocker, il chip TPM rilascia la chiave crittografica solo se si digita correttamente il codice PIN durante la fase di pre-avvio.
Si tratta di una misura essenziale per proteggere il contenuto delle unità di memorizzazione anche rispetto ad attacchi effettuati a più basso livello avendo disponibilità fisica del computer da violare e hardware “ad hoc”. Dolos Group spiegava bene come è possibile accedere ai sistemi protetti da BitLocker quando non viene usato il PIN pre-boot.
Un’ennesima conferma arriva da Microsoft che dapprima ha rilasciato, nei mesi scorsi, una patch di sicurezza destinata a tutti i sistemi Windows che usano BitLocker e poi mette oggi a disposizione uno script per correggere la configurazione di WinRE. Proviamo a spiegare nel dettaglio.
La falla conosciuta con l’identificativo CVE-2022-41099 fa sì che un aggressore con la disponibilità fisica di un dispositivo protetto da BitLocker possa forzare l’accesso recuperando i dati cifrati. Questo non può avvenire, come conferma Microsoft, se è attiva la protezione TPM+PIN.
L’applicazione dell’aggiornamento di sicurezza Microsoft, tuttavia, non protegge da tutte le modalità di attacco nel caso in cui BitLocker utilizzasse solo il chip TPM e non fosse impostato anche un PIN (parliamo delle differenza tra le modalità di funzionamento di BitLocker e VeraCrypt in un altro approfondimento).
Windows Recovery Environment (WinRE) è un ambiente di ripristino che viene fornito con il sistema operativo Windows. WinRE è progettato per aiutare gli utenti a risolvere i problemi del sistema, ad esempio quando il sistema operativo non si avvia correttamente o presenta errori critici.
Nella partizione di ripristino Windows inserisce un’immagine chiamata winre.wim
che viene utilizzata per avviare l’ambiente di ripristino nel caso in cui il sistema operativo evidenziasse dei problemi in avvio.
Un utente malintenzionato che potesse mettere le mani sul PC altrui protetto con BitLocker in modalità “solo TPM” può guadagnarvi l’accesso e decodificarne il contenuto proprio sfruttando l’avvio da ambiente WinRE.
Lo script PowerShell sviluppato e pubblicato da Microsoft permette di modificare la configurazione dell’immagine di WinRE memorizzata nel file winre.wim
al fine di evitare ogni possibile tentativo di aggressione.
Per l’aggiornamento del contenuto dell’immagine di WinRE lo script PowerShell utilizza Safe OS Dynamic, pacchetto che deve essere manualmente scaricato dall’utente.
Microsoft precisa che non è possibile utilizzare supporti di boot o immagini di WinRE memorizzate su unità di memorizzazione esterne per violare macchine protette con BitLocker in configurazione “solo TPM”.
Il consiglio migliore resta comunque sempre quello di attivare il PIN pre-boot con BitLocker in modo da scongiurare qualunque tipo di attacco, anche i tentativi di aggressione più evoluti.