BitLockerWindows内置现代设备级数据加密保护功能,BitLocker与Windows内核深度集成。有大量的企业和个人使用BitLocker加密自己关键数据,以防止数据泄密。BitLocker作为一种安全手段其本身也常常是安全测试和渗透的目标之一,也暴露过一些问题.
最近安全研究者JonasLykkegård发现了BitLocker的锁屏绕过高危漏洞CVE-2020-1398,可以绕过BitLocker的密码安全认证过程,影响的系统包括Windows10,windowsserver等多个windows操作系统。
概述通过6个简单的步骤绕过BitLocker。对给定未知密码和受BitLocker保护的硬盘驱动器Windows10系统,可以通过执行以下操作来添加管理员帐户:
登录屏幕上,选择"我忘记了密码"。
绕过锁定并启用可移动驱动器的自动播放。
插入带有特别制作的.exe和连接文件夹的USB记忆棒。
运行可执行文件。
卸载驱动器,然后再放回去,进入主屏幕。
启动讲述人,将执行之前植入的DLL有效负载。
就会,自动添加了一个名为hax的用户帐户,其密码为"hax",该用户具有Administrators成员身份。要使用要登录的帐户更新列表,请单击我忘记密码,然后返回主屏幕。
锁定屏幕绕过首先,选择"我忘记了密码/PIN"。此选项将启动一个附加会话,可根据需要创建/删除一个帐户。用户个人资料服务将其称为默认帐户。它的第一个可用名称为defaultuser1,defaultuser100000,defaultuser100001等。
要绕过锁定,必须使用讲述人(Narrato),因为该上下文中设法启动某些内容,也无法看到它,如果使用讲述人,将能够对其进行导航。
现在,可以使用CapsLock+向左箭头导航设置应用程序,按此按钮直至到达"主页"。
当主页具有焦点时,按住CapsLock并按Enter。使用CapsLock+向右箭头导航到设备,然后在焦点对准CapsLock+Enter时输入。
导航至自动播放,单击CapsLock+Enter,然后选择"打开文件夹以查看文件(文件资源管理器)"。
然后,插入准备好的USB驱动器,等待几秒钟,讲述人将宣布驱动器已打开,并且窗口已聚焦。
选择文件并使用CapsLock+Enter执行。这样无需使用任何密码,可以实现任意代码执,。但是,受限制为默认配置文件。
特权提升安装USB记忆棒后,BitLocker将在"系统卷信息"中创建一个名为
ClientRecoveryPasswordRotation的目录,并将权限设置为:
如果重新插入USB记忆棒,C:\windows\system32\则会创建具有允许创建子目录的权限的文件夹:
amd64__6595b64144ccf1df_6.0.18362.657_none_e6c5b579130e3898
在该子目录中,删除了一个名为的有效负载DLL。下次触发讲述人时,它将加载DLL。顺便说一句,选择了讲述人,因为它可以实现从登录屏幕作为系统服务触发,并且不会自动加载,因此,如果出现任何问题,仍然还可以启动。
结合起来然后启动一个循环,其中可执行文件将执行以下操作:
尝试创建子目录。
将有效负载植入其中。
如果讲述人不起作用,那是因为DLL已植入,并且讲述人执行了该DLL,但是由于它以defaultuser1启动,因此无法添加帐户。植入有效负载后,将需要单击返回登录屏幕并启动讲述人。会发出3声哔哔声,并显示一个消息框,说明已加载DLL。帐户已创建,但是并没有显示在列表中。
按"我忘记了密码",然后单击返回以更新列表。
应该会出现一个名为hax的新帐户,密码为hax。
制作利用的USB按照以下步骤设置USB记忆棒:
C:\Users\jonasformatD:/fs:ntfs/qInsertnewdiskfordriveD:PressENTERwhenready-----FileSystem:(32characters,ENTERfornone)?
接着,需要将admin提升为deleteSystemVolumeInformation。
C:\Users\jonasd:D:\takeown/F"SystemVolumeInformation"
结果:
SUCCESS:Thefile(orfolder):"D:\SystemVolumeInformation"
然后
D:\icacls"SystemVolumeInformation"/grantEveryone:(F)Processedfile:SystemVolumeInformationSuccessfullyprocessed1files;Failedprocessing0filesD:\rmdir/s/q"SystemVolumeInformation"
使用JamesForshaw的工具(附带)创建安装点。
D:\createmountpoint"SystemVolumeInformation""\RPCControl"
然后将附件的复制
D:\copyc:\Users\jonas\source\repos\exploitKit\x64\Release\(s)copied.
总结:
爆锁屏绕过和权限提升漏洞CVE-2020-1398,被评定为一个严重漏洞,微软已经提供了了,对应的升级补丁,请使用BitLocker功能的用户及时修补。
