Nei giorni scorsi abbiamo dato ampio spazio alla notizia del superamento delle difese di BitLocker con una semplice ed economica scheda Raspberry Pi Pico. In quel caso, tuttavia, l’autore dell'”impresa” aveva utilizzato un computer portatile risalente a circa 10 anni fa, collegando i pin della scheda Raspberry al bus LPC (Low Pin Count), individuato sulla scheda madre del notebook.
Un ricercatore indipendente, tuttavia, segnala che un approccio simile può essere utilizzato anche con alcuni modelli di notebook moderni e nel suo post pubblicato su X cita esplicitamente il caso del Lenovo X1 Carbon Gen 11 (anno 2023), basato su Windows 11.
Non solo sistemi vecchi di 10 anni: attacco BitLocker possibile anche sui notebook più recenti. Ecco in quali casi
Prendendo in esame sistemi certamente più nuovi e aggiornati dal punto di vista architetturale, i passaggi da seguire sono un po’ più complicati ma – seguendo le istruzioni riportate sul repository GitHub dell’autore della scoperta – si può “intercettare” il traffico in chiaro che viaggia sul bus SPI, utilizzato per le comunicazioni tra chip TPM e CPU. Ne avevamo parlato nel corso dell’estate 2023 spiegando come un analizzatore logico permetta di leggere i dati i transito e bypassare BitLocker.
Oltre all’X1 Carbon di Lenovo, la pagina allestita su GitHub da Stu Kennedy – questo il nome dell’esperto – contiene tutte le indicazioni per leggere il codice di decodifica di BitLocker nel caso di altri 5 notebook moderni: Lenovo Thinkpad L440, Dell Lattitude E7450, Dell Lattitude E5470, Dell Lattitude E5450, Microsoft Surface Pro 3; oltre al modulo Asus TPM-M R2.0.
In tutti i casi, il problema riguarda sistemi che usando un chip TPM dedicato, saldato da qualche parte sulla motherboard (spesso nella parte posteriore). Kennedy mostra i pin esatti ai quali è possibile collegarsi per leggere le informazioni utilizzate da BitLocker.
Per scongiurare qualunque rischio di attacco, lo ricordiamo ancora una volta, è consigliabile affidarsi alla funzionalità fTPM integrata a livello di processore e, soprattutto, attivare la richiesta del PIN pre-boot in fase di configurazione di BitLocker.
Le istruzioni per configurare un PIN da inserire immediatamente all’accensione del computer, previa abilitazione di BitLocker, sono contenute nell’articolo dedicato a come proteggere i dati su hard disk e SSD con una password all’avvio del sistema.