Omisión de BitLocker en Windows 10 mediante actualizaciones

Un investigador de seguridad descubrió un nuevo problema en el sistema operativo Windows 10 de Microsoft que permite a los atacantes obtener acceso a los datos cifrados de BitLocker.

Una publicación en el blog de Win-Fu destaca el método. Básicamente, lo que hace el método es aprovechar una función de resolución de problemas que está habilitada durante el proceso de actualización.



Hay un error pequeño pero LOCO en la forma en que se instala la 'Actualización de funciones' (anteriormente conocida como 'Actualización'). La instalación de una nueva compilación se realiza volviendo a crear la imagen de la máquina y la imagen instalada por una versión pequeña de Windows llamada Windows PE (entorno de preinstalación).

Tiene una función para solucionar problemas que le permite presionar MAYÚS + F10 para obtener un símbolo del sistema. Lamentablemente, esto permite el acceso al disco duro, ya que durante la actualización, Microsoft deshabilita BitLocker.

Si presiona Shift-F10, abre una ventana de símbolo del sistema que le permite acceder a los dispositivos de almacenamiento del sistema operativo.

Dado que la protección de BitLocker está deshabilitada durante las actualizaciones, significa que cualquier persona que aproveche el problema obtiene acceso a todos los archivos que normalmente están cifrados por BitLocker.

Omisión de BitLocker en Windows 10 mediante actualizaciones

bitlocker bypass windows 10

El método funciona actualmente cuando se actualiza la versión original de Windows 10 a la versión de actualización de noviembre 1511 o la actualización de aniversario versión 1607. Además, funciona en cualquier nueva versión de Insider Build que Microsoft publique, al menos por el momento.



El problema principal, como señaló Sami Laiho, el investigador que reveló el problema, es que cualquier persona con acceso local a la máquina puede aprovechar el problema. No se requiere acceso administrativo, por lo que no se requiere software, configuraciones o hardware especiales en el dispositivo Windows.

Dado que se trata de un problema local, está claro que el problema no se explotará en la naturaleza. Cualquiera con acceso local a una máquina con Windows, por otro lado, puede aprovechar el problema. Si es un usuario, Windows 10 puede configurarse para aceptar actualizaciones de Windows Insider si no lo impide un administrador del sistema.

Por lo tanto, las empresas deben prohibir el encendido de compilaciones de Windows Insider para máquinas que ejecutan Windows 10.

Esto se hace de la siguiente manera:

  1. Toque la tecla de Windows, escriba regedit.exe y presione la tecla Intro.
  2. Navegue hasta la siguiente clave de registro: HKEY_LOCAL_MACHINE SOFTWARE Microsoft WindowsSelfHost UI Visibility
  3. Haga clic con el botón derecho en Visibilidad y seleccione Nuevo> Valor Dword (32 bits).
  4. Nombralo HideInsiderPage.
  5. Haga doble clic en la nueva preferencia y establezca su valor en 1.

Puede deshacer el cambio en cualquier momento eliminando la clave o configurándola en 0.

Es posible que las empresas también deseen prohibir las actualizaciones desatendidas (no necesariamente actualizaciones) en las máquinas con Windows 10 para evitar que se aproveche el problema.

Palabras de cierre

El problema de seguridad revelado es problemático para los dispositivos protegidos con BitLocker que ejecutan Windows 10. El problema principal aquí es, por supuesto, la revelación de archivos protegidos durante los procesos de actualización.