Contournement de BitLocker sur Windows 10 via des mises à niveau

• Catégorie: Sécurité

Essayez Notre Instrument Pour Éliminer Les Problèmes

Sélectionnez Le Système D'Exploitation Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Choisissez Un Programme De Projection (Éventuellement) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Décrivez Votre Problème

Obtenez Une Réponse

Envoyez-Moi Par E-Mail Montrer Sur Le Site

Un chercheur en sécurité a découvert un nouveau problème dans le système d'exploitation Windows 10 de Microsoft qui permet aux attaquants d'accéder aux données cryptées BitLocker.

Un article sur le blog Win-Fu met en évidence la méthode. Fondamentalement, la méthode exploite une fonction de dépannage activée pendant le processus de mise à niveau.

Il y a un petit mais fou bogue dans la façon dont la «mise à jour des fonctionnalités» (anciennement appelée «mise à niveau») est installée. L'installation d'une nouvelle build se fait en recréant l'image de la machine et de l'image installée par une petite version de Windows appelée Windows PE (Preinstallation Environment).

Cela a une fonction de dépannage qui vous permet d'appuyer sur MAJ + F10 pour obtenir une invite de commande. Cela permet malheureusement d'accéder au disque dur car lors de la mise à niveau, Microsoft désactive BitLocker.

Si vous appuyez sur Maj-F10, vous ouvrez une fenêtre d'invite de commande qui vous permet d'accéder aux périphériques de stockage du système d'exploitation.

Étant donné que la protection BitLocker est désactivée lors des mises à niveau, cela signifie que toute personne exploitant le problème a accès à tous les fichiers qui sont généralement chiffrés par BitLocker.

Contournement de BitLocker sous Windows 10 via des mises à niveau

La méthode fonctionne actuellement lors de la mise à jour de la version originale de Windows 10 vers la mise à jour de novembre version 1511 ou la mise à jour anniversaire version 1607. En outre, elle fonctionne sur toute nouvelle version Insider Build que Microsoft publie, du moins pour le moment.

Le principal problème, comme l'a noté Sami Laiho, le chercheur qui a révélé le problème, est que toute personne ayant un accès local à la machine peut exploiter le problème. L'accès administratif n'est pas requis, pas plus que les logiciels, paramètres ou matériels spéciaux sur le périphérique Windows.

Puisqu'il s'agit d'un problème local, il est clair que le problème ne sera pas exploité dans la nature. Toute personne ayant un accès local à une machine Windows peut en revanche exploiter le problème. S'il s'agit d'un utilisateur, Windows 10 peut être configuré pour accepter les mises à jour de Windows Insider s'il n'est pas empêché par un administrateur système.

Les entreprises doivent donc interdire l'activation des versions de Windows Insider pour les machines exécutant Windows 10.

Cela se fait de la manière suivante:

1. Appuyez sur la touche Windows, tapez regedit.exe et appuyez sur la touche Entrée.
2. Accédez à la clé de registre suivante: HKEY_LOCAL_MACHINE SOFTWARE Microsoft WindowsSelfHost UI Visibilit et
3. Cliquez avec le bouton droit sur Visibilité et sélectionnez Nouveau> Valeur Dword (32 bits).
4. Nomme le HideInsiderPage .
5. Double-cliquez sur la nouvelle préférence et définissez sa valeur sur 1.

Vous pouvez annuler la modification à tout moment en supprimant la clé ou en la réglant sur 0.

Les entreprises peuvent également vouloir interdire les mises à niveau sans surveillance (pas nécessairement les mises à jour) sur les machines Windows 10 pour éviter que le problème ne soit exploité.

Mots de clôture

Le problème de sécurité révélé est problématique pour les appareils protégés par BitLocker qui exécutent Windows 10. Le principal problème ici est bien sûr la révélation des fichiers protégés pendant les processus de mise à niveau.