O PC AMD Ryzen Pluton pode salvá-lo quando o BitLocker quebra no moderno Windows 11 Intel com TPM 2.0

Na época em que a Microsoft anunciou os requisitos de sistema para o Windows 11, um dos principais critérios era a necessidade de CPUs relativamente modernas, embora os usuários continuassem a executá-lo em hardware muito antigo, mas provavelmente não por muito tempo .

A gigante da tecnologia argumentou que a necessidade de requisitos mais elevados se devia principalmente à segurança aprimorada no Windows 11. Juntamente com as novas CPUs, o Trusted Platform Module (TPM) 2.0 tornou-se obrigatório. Mais tarde, a empresa explicou por que coisas como TPM 2.0 e VBS (Segurança baseada em virtualização) eram tão importantes e também publicou um vídeo de demonstração para mostrar tentativas de hacking em um PC sem TPM e VBS.

No entanto, o TPM não é perfeito e ataques de detecção de TPM são possíveis. No ano passado, cobrimos um caso desse tipo em Ryzen, onde a vulnerabilidade chamada “faulTPM” estava afetando Ryzen 3000 (Zen 2) e Ryzen 5000 (Zen 3). Isso estava afetando o firmware TPM (fTPM), mas esses ataques de detecção também são possíveis em TPM discretos.

Conforme demonstrado recentemente por um pesquisador de segurança, o barramento LPC (baixa contagem de pinos) foi aproveitado usando um Raspberry Pi Pico barato para extrair dados críticos como a chave mestra de volume (VMK), ignorando a criptografia do BitLocker. Esta não é a primeira vez que tais ataques são revelados por especialistas em segurança. Aqui está outro exemplo ( link do YouTube ) de prova de conceito (PoC) de detecção de barramento LPC.

Embora o truque do Raspberry Pi Pico tenha sido feito em um PC um pouco mais antigo, essas quebras de criptografia do BitLocker por meio de sniffing também são possíveis em PCs modernos. Conforme demonstrado pelo usuário do Twitter (agora X), Stu Kennedy, que cheirou um Lenovo ThinkPad X1 Carbon Gen 11, que usa um chip Intel de 13ª geração com TPM 2.0 discreto. Desta vez, o ataque foi executado usando sniffing SPI (Serial Peripheral Interface).

Recuperação de chave BitLocker em um Windows 11, Lenovo X1 Carbon Gen 11 via SPI Sniffing.
O TPM na parte traseira da placa-mãe, existem vários painéis de teste. pic.twitter.com/JGu0riEr1c

-Stu Kennedy (@NoobieDog) 7 de fevereiro de 2024

Caso você esteja se perguntando, a detecção de TPM funciona cruzando barramentos de comunicação como os protocolos LPC, SPI ou I2C (Circuito Interintegrado).

Uma maneira de evitar isso é usar o chip de segurança Microsoft Pluton, que está atualmente no AMD Ryzen 6000 (Zen 3+)/ Rembrandt e em processadores mais recentes. Infelizmente, ainda não se tornou o padrão, com a Intel aparentemente ainda não pronta para isso e fornecedores como a Lenovo desativando-o por padrão, mesmo quando está disponível.