Uit https://www.cisa.gov/uscert/ncas/alerts/aa22-257a:
• Activate BitLocker on all networks and securely back up BitLocker keys with Microsoft and with an independent offline backup.
Het is verstandig om, van elke computer, de Bitlocker Rescue key offline te back-uppen (bijvoorbeeld in een Keepass kluis waar een klein aantal vertrouwde mensen het wachtwoord van kent), bijv. voor het geval dat een moederbord (met TPM-chip) kapot gaat. Maar of dat veel helpt tegen de hier bedoelde aanvallen, betwijfel ik.
Het is voor aanvallers (met admin-toegang tot een computer) namelijk waarschijnlijk erg eenvoudig om het Bitlocker gebruikerswachtwoord (of pincode) te wijzigen; als dat zo is kost dat veel minder tijd dan het (voor het eerst of opnieuw) versleutelen van een schijf.
Microsoft houdt namelijk niet van “best practices”. Of het in de laatste Windows versies nog steeds zo is weet ik niet zeker, maar in https://youtu.be/1sl2eEVrnRU (bevestigd door [1]) kun je zien dat, om jouw Bitlocker wachtwoord te wijzigen, je niet eerst jouw oude wachtwoord hoeft in te voeren.
Tip bij deze video als je niet van de muziek houdt waar cybercriminelen naar luisteren tijdens dit soort aanvallen: klik op “Mute” (de maker van deze video was sprakeloos).
Nb.#1 als een collega gaat lunchen zonder zelfs maar het scherm te locken, zou je dit dus ook kunnen doen (LOL komt ie pas de volgende werkdag achter) maar dan loop vooral jij het risico op een veel eerder “pensioen” dan gepland.
Nb.#2 er bestaat ongetwijfeld een API voor het wijzigen van een Bitlocker wachtwoord, waardoor je de “instellingen”-schermen niet voorbij hoeft te zien komen als een aanvaller dit via het netwerk doet.
Hoe moeilijk het voor aanvallers is om een Bitlocker rescue code te wijzigen, weet ik niet. Maar het zou mij niet verbazen als dat niet veel moeilijker is dan het wijzigen van het gebruikerswachtwoord.
Het voordeel van een versleutelde schijf zou kunnen zijn dat computers vaker worden uitgezet voordat mensen ze ongebruikt achterlaten (immers, pas dan heb je echt wat aan die versleuteling, en kunnen aanvallers er niet bij via het netwerk). Maar ja, die zijn weer lastiger te updaten als de luser (local user 😉 de computer niet heeft opgestart en het Bitlocker wachtwoord niet heeft ingevoerd.
“Gelukkig” kunnen beheerders WOL (Wake On Lan) en “Bitlocker Network Unlock” ([2]) inzetten. Maar aanvallers die domain admin zijn, kunnen dat natuurlijk ook, alsmede back-ups van Bitlocker keys in AD wijzigen.
Makkelijker kunnen we het niet maken, wel veiliger…
P.S. Iets hoger in [1] las ik ook:
• If you forget your PIN, you will have to enter the first eight digits of the recovery key ID, which will appear in the BitLocker Recovery console. The BitLocker Recovery console is a pre-Windows screen that will be displayed if you do not enter the correct PIN.
Ik dacht altijd dat je de hele recovery key moest invoeren. Weet iemand of 8 chars echt volstaat? Dat zou absurd weinig zijn, en brute-forceable. Bron: Security.nl