Microsoft Security Advisory Notification ADV180028 zu Bitlocker auf SSDs (6. Nov. 2018)

[English]Microsoft hat zum 6. November 2018 einen neuen Sicherheitshinweis (Security Advisory ADV180028) mit Hinweisen zur Hardware- bzw. Software-Verschlüsselung durch Bitlocker bei SSDs veröffentlicht. Das passt zu einem Thema, was ich vor wenigen Stunden in einem separaten Blog-Beitrag angesprochen habe.


Anzeige

Hintergrundinformationen zum Sicherheitshinweis

Es geht um das Thema Bitlocker und softwarebasierende Verschlüsselung. Zu diesem Thema hatte ich vor wenigen Stunden den Blog-Beitrag SSD-Schwachstelle hebelt (Bitlocker) Verschlüsselung aus veröffentlicht. Hier der Text des Security Advisory:

* Microsoft Security Advisory ADV180028

– Title: Guidance for configuring BitLocker to enforce software
encryption
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV180028
– Reason for Revision: Information published.
– Originally posted: November 6, 2018
– Updated: November 6, 2018
– Version: 1.0

Im Sicherheitshinweis reagiert Microsoft auf genau den von mir in obigem Beitrag angesprochenen Sachverhalt, dass Bitlocker-Verschlüsselung von SSD-Laufwerken unsicher ist, wenn die hardwaregestützte Variante verwendet wird.

Was besagt Security Advisory ADV180028?

Im Sicherheitshinweis ADV180028 bestätigt Microsoft, dass es Berichte zu einer Schwachstelle bei der Bitlocker-Verschlüsselung von SSD-Laufwerken gibt und gibt konkrete Hinweise.

Microsoft is aware of reports of vulnerabilities in the hardware encryption of certain self-encrypting drives (SEDs). Customers concerned about this issue should consider using the software only encryption provided by BitLocker Drive Encryption™. On Windows computers with self-encrypting drives, BitLocker Drive Encryption™ manages encryption and will use hardware encryption by default. Administrators who want to force software encryption on computers with self-encrypting drives can accomplish this by deploying a Group Policy to override the default behavior. Windows will consult Group Policy to enforce software encryption only at the time of enabling BitLocker.

Die deutschsprachige Kurzfassung: Microsoft ist bekannt, dass es Schwachstellen bei der Hardwareverschlüsselung bestimmter selbstverschlüsselnder Laufwerke (SEDs, self encrypting devices) gibt. Kunden, die über dieses Problem besorgt sind, sollten die Verwendung der softwaremäßigen Verschlüsselung durch BitLocker Drive Encryption™ in Betracht ziehen.

Auf Windows-Computern mit selbstverschlüsselnden Laufwerken verwaltet BitLocker Drive Encryption™ die Verschlüsselung und verwendet standardmäßig die Hardwareverschlüsselung. Administratoren, die die Softwareverschlüsselung auf Computern mit selbstverschlüsselnden Laufwerken erzwingen möchten, können dies durch die Bereitstellung einer Gruppenrichtlinie erreichen, die das Standardverhalten überschreibt. Windows wird die Gruppenrichtlinie zur Durchsetzung der Softwareverschlüsselung nur zum Zeitpunkt der Aktivierung von BitLocker konsultieren.

Wie prüft man den Verschlüsselungsmodus?

Sofern eine SSD im System eingebaut ist, schlägt Microsoft die Verwendung des Befehls manage-bde.exe –status in einer administrativen Eingabeaufforderung vor. Diesen Hinweis gab es gestern im Kommentar von Blog-Leser Bernhard Diener bereits. Hier die Anweisungen von Microsoft.


Anzeige

1. Öffnen Sie eine administrative Eingabeaufforderung (z.B. cmd in der Suche eingeben und den Treffer über den Kontextmenübefehl Als Administrator ausführen aufrufen).

2. In der Eingabeaufforderung den Befehl manage-bde.exe -status ausführen lassen und die Statusmeldungen durchgehen.

Das Kürzel bde steht mutmaßlich für Bitlocker Device Encryption. Ich habe das Ganze mal unter Windows 7 SP1 und Windows 10 V1809 probiert, wohl wissend, dass dort keine Bitlocker-Verschlüsselung im Einsatz ist. Hier ist die Statusausgabe des Befehls:

Wenn keiner der aufgeführten Laufwerke "Hardwareverschlüsselung" im Feld Verschlüsselungsmethode meldet, dann verwendet dieses Gerät Softwareverschlüsselung oder es gibt keine Bitlocker-Verschlüsselung. Dann ist die Maschine mit ihrem Laufwerken nicht von Schwachstellen betroffen, die bei selbstverschlüsselnden SSDs gerade bekannt geworden sind.

Bei administrator.de findet sich ein Post von DerWoWusste mit einem weiteren Hinweis auf manage-bde.exe.

Ich bin betroffen, was muss ich tun?

Falls mit Bitlocker verschlüsselte Laufwerke gemeldet werden, die eine Hardwareverschlüsselung verwenden, können Administratoren die Schwachstelle beheben, indem Sie in Bitlocker per Gruppenrichtlinie auf Softwareverschlüsselung umsteigen. Dazu schreibt Microsoft:

Nachdem ein Laufwerk mit Hardwareverschlüsselung verschlüsselt wurde, erfordert der Wechsel zur Softwareverschlüsselung auf diesem Laufwerk, dass das Laufwerk zuerst unverschlüsselt und dann mit Softwareverschlüsselung wiederverschlüsselt wird.

Wenn Sie BitLocker Drive Encryption verwenden, reicht es nicht aus, den Wert der Gruppenrichtlinie zu ändern, um die Softwareverschlüsselung allein durchzusetzen, um bestehende Daten erneut zu verschlüsseln.

Um die durch die hardwarebasierende Verschlüsselung bedingte Schwachstelle zu beheben, sind folgende Schritte durchzuführen:

  1. Konfigurieren sie eine Gruppenrichtlinie zur Aktivierung der erzwungenen Softwareverschlüsselung und stellen Sie diese auf den betroffenen Laufwerken bereit.
  2. Schalten Sie Bitlocker vollständig aus, um die Entschlüsselung des Laufwerk zu erzwingen.
  3. Nach der Entschlüsselung ist das Laufwerk wieder durch die Aktivierung von Bitlocker neu zu verschlüsseln.

An dieser Stelle räumt Microsoft auch gleich ein Missverständnis ab, welches ich im Blog-Beitrag SSD-Schwachstelle hebelt (Bitlocker) Verschlüsselung aus angerissen habe – und was von Blog-Leser riedenthied in einem Kommentar aufgegriffen wurde. Denn Microsoft schreibt:

WICHTIG: Sie müssen das Laufwerk NICHT neu formatieren oder Anwendungen neu installieren, nachdem Sie die BitLocker-Einstellungen geändert haben.

Die Formatierung des SSD-Laufwerks, wie in meinem Artikel angegeben, ist also nicht erforderlich. Die Gruppenrichtlinien für Bitlocker sind in diesem Microsoft-Dokument zu finden. Bei zusätzlichen Fragen oder Unklarheiten ist ADV180028 von Microsoft zu Rate zu ziehen. Insgesamt muss man feststellen, dass Microsoft flugs reagiert hat.

Ergänzung: Noch einige Gedanken

Ich wurde gefragt, welche GPO die hardwaregestützte Verschlüsselung regelt. Das müsste diese GPO sein, die sich auf die Verschlüsselungsmethode auswirkt. Martin Brinkmann hat auf ghacks.net eine detailliertere Beschreibung zur GPO verfasst und nachfolgenden Screenshot gepostet.

force bitlocker to use software encryption(Quelle: ghacks.net)

Aber die Geschichte wird noch mysteriöser (imho). Microsoft schreibt ja, dass die hardware basierende Verschlüsselung standardmäßig zur Anwendung kommt, sobald eine SSD diese unterstützt. Die Optionen der Gruppenrichtlinie aus obigem Screenshot deuten auch in diese Richtung.

Jetzt gibt es aber den Kommentar von @riedenthied – und ich habe einen gleichlautenden Hinweis von einem Consultant auf Facebook erhalten – dass auf den untersuchten Maschinen keine die hardwarebasierende Verschlüsselung nutzt. Irgend eine Information fehlt uns da noch, oder keine Windows-Maschine kann die hardwarebasierende Verschlüsselung nutzen? Ergänzung: Es gibt jetzt schon einige Theorien, warum die hardwarebasierende Verschlüsselung nicht aktiviert ist (obwohl doch Standard laut Microsoft). Eine schlüssige Antwort fehlt noch. Und noch ein Nachtrag – auch fefe hat sich des Thema angenommen – Erkenntnisgewinn imho aber eher marginal (danke an Andreas E. für den Link).

Ähnliche Artikel:
SSD-Schwachstelle hebelt (Bitlocker) Verschlüsselung aus
Windows 10 V1803: Fix für Bitlocker-Bug im November 2018?
Windows 10 V1803: Kein Backup für BitLocker-Wiederherstellungsinformationen in AD
Neues Surface Book 2 Firmware-Update bringt ggf. Bitlocker-Problem
Per Intel AMT am BIOS-/Bitlocker-Passwort umgehen
Windows 10 Version 1511: Clean Install blockt Bitlocker


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Microsoft Security Advisory Notification ADV180028 zu Bitlocker auf SSDs (6. Nov. 2018)

  1. Karl Wester-Ebbinghaus sagt:

    Wieder bald ein NSA backdoor weniger

  2. Mr. Freeman sagt:

    Ich habe das gerade bei ein paar Notebooks bei uns im Betrieb getestet.
    Es war auch einer dabei, der eine Samsung 850 Pro verbaut hat.

    Die Statusabfrage hat "Verschlüsselungsmethode: XTS-AES 128" ausgespuckt.
    Bei der Speicherung des Keys habe ich immer die .txt – Variante genommen.

  3. Markus Klocker sagt:

    Also mal VORSICHT!!!:

    Die GPO muss man für Fixed Disks/removable drives und Operating System Drives seperat setzen!
    Was mir nicht ganz klar ist, was verwendet wird wenn man in der GPO "Choose drive encryption method and cipher strenght (Windows 10) …" auf XTS-AES 256 gesetzt hat!?
    Die liegt nämlich im "Container" darüber und sollte ja vererbt werden?
    Ich habe leider keine SSD mit HW-encryption support bei der Hand, sont würde ich das sofort ausprobieren.
    Bei uns sieht es allerdings so aus, als ob wir durch dieses Setting, oder einfach auf Grund nicht vorhandener SSDs mit hw-encryption, auf der sicheren Seiten sind.

    • Markus Klocker sagt:

      Habe eine disk mit hw.encryption bekommen.
      Setzt man die GPO "Choose drive encryption method and cipher strenght (Windows 10) …" auf XTS-AES 256, so wird immer die Software-encryption verwendet. In unserem Fall waren wir also nie betroffen.

Schreibe einen Kommentar zu Markus Klocker Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.