Angeblich irreparables Leck in Windows 7

Am Wochenende konnte man auch im deutschsprachigen Internet über ein angeblich irreparables Leck in Windows 7 lesen. Anbei mal ein Auszug der Artikel:

  1. PC Professionell: Forscher finden irreparables Leck in Windows 7
    Eine Sicherheitslücke gibt Angreifern vollen Zugriff auf den Rechner eines Windows-7-Users. Laut den Entdeckern lässt sich das Leck nicht beheben - es handelt sich dabei um einen Design-Fehler des neuen Microsoft-OS.
  2. Macwelt: Windows 7: Sicherheitslücke lässt sich nicht stopfen
    Das größte Problem für die Sicherheit von Windows 7 ist dabei, dass gegen diesen Hack kein Kraut gewachsen ist, da es sich um einen systemimmanenten Vorgang beim Start des kommenden neuen Betriebssystems von Microsoft handelt, das wohl bestehen bleibt, solange Windows 7 auf dem Markt ist. Microsoft hat sich bislang nicht zu diesem Exploit geäußert.
  3. derStandard.at: Experten finden vermeintlich "unlösbares" Sicherheitsproblem
    Dass die Experten von einem "unlösbaren" Problem sprechen, liegt daran, dass man auf einen grundlegenden Design-Fehler von Windows abziele, wie die VBootkit-Erfinder betonen - den Umstand, dass das Microsoft-Betriebssystem davon ausgeht, dass der Boot-Prozess prinzipiell "sicher" ist.

Die Quelle der Artikel ist der englischsprachige Artikel Researchers show how to take control of Windows 7:

  • Researchers Vipin Kumar and Nitin Kumar used proof-of-concept code they developed, called VBootkit 2.0, to take control of a Windows 7 virtual machine while it was booting up. They demonstrated how the software works at the conference.
  • There's no fix for this. It cannot be fixed. It's a design problem," Vipin Kumar said, explaining the software exploits the Windows 7 assumption that the boot process is safe from attack."

Zu dem vorgestellten Angriff muss man wissen, dass man dafür physikalischen Zugriff auf den Computer benötigt. Gemäß den 10 Immutable Laws of Security greift hier If a bad guy has unrestricted physical access to your computer, it's not your computer anymore. Weiterhin muss man in der Lage sein, den Rechner von einem anderen Datenträger booten zu können. In diesem Beispiel denke ich, wird zuerst ein ISO-Image mit den 3KB vbootkit 2.0 Code gemounted und dann davon gebootet. Das ISO enthält dann einen manipulierten Master Boot Record (MBR), welcher eEye BootRoot-Techniken nutzt, um den Wechsel des Prozessors in den Protected Mode und die Zeit, nachdem der Kernel vollständig geladen ist, zu überbrücken.

In Summe ist das nicht wirklich etwas Neues. Die gleiche Technik nutzte Derek Soeder in seinem Vortrag auf der Black Hat USA 2005. Theoretisch sind damit auch alle anderen Windows-Versionen, Linux, Mac OS X, etc. angreifbar, weil alle keine Überprüfung des Bootpfades durchführen und darauf vertrauen, dass die jeweilig vorherige Bootinstanz schon keine bösen Sachen macht.

Was in all den Artikeln jedoch verschwiegen wird, ist die Tatsache, dass Microsoft schon bei der Entwicklung von Windows Vista derartige Angriffsszenarien auf dem Radar hatte und mit Bitlocker eine Lösung implementiert hat, die auch gegen die in den obigen Artikeln beschriebene Angriffstechnik wirksam schützt. Wie schon damals lautet auch heute die Antwort Bitlocker mit Secure Startup. Das Design von Bitlocker sieht gerade den Schutz des Rechners gegen Angreifer mit physikalischem Zugriff vor.

Wer die technischen Details kennenlernen möchte, wie Bitlocker dagegen schützen kann, dem empfehle ich den englischsprachigen Artikel meines Kollegen Robert Hensing VBootkit vs. Bitlocker in TPM mode vom 5. April 2007.

Natürlich sind diese Funktionen auch in Windows 7 enthalten. Daher sind die Aussagen, dass es sich um ein Designproblem von Windows 7 handelt und es keinen Fix dagegen geben würde, schlicht falsch. Es sei denn, man würde dem Angreifer freiwillig auch noch seinen Bitlocker-Schlüssel geben. Dazu fand ich einen passenden Kommentar im Windows 7 Forum auf connect.de:

Wow, was für ein katastrophaler Bug... Wenn ich einem Dritten den Schlüssel für mein Auto gebe, dann kann er ggf. auch einfach damit wegfahren.