통합 TPM(Trusted Module Platform)은 오늘날 시스템 보안의 핵심 요소입니다. 잘 아시다시피 Microsoft는 이 보안 시스템이 장착된 시스템에만 Windows 11 설치를 허용합니다(여기서 말씀드린 몇 가지 예외 제외). 복잡한 상황에서 TPM 칩을 설치할 가능성이 없는 사람.
사실 제조업체와 개발자는 특정 작업의 보안을 보장하는 전용 칩에 베팅하고 있으며, TPM은 호환 가능한 시스템과 Apple이 설계한 동일한 구현으로 보안 구역을 수반합니다. 그리고 대부분의 경우 이 시스템이 충분하고 침착할 수 있는 수준의 보안을 제공한다는 것은 의심의 여지가 없습니다.
그러나 TPM은 오류가 없는 것으로 판명되었으며 특정 상황에서 복잡하지만 실행 가능한 절차를 통해 이론적으로 시스템을 켜고 사용하는 것을 방지하고 동일한 상황에서 기업 네트워크에 액세스하는 것을 방지하는 보호를 우회할 수 있습니다. , 이것이 제기하는 엄청난 위험과 함께. 취약점을 분석하기 전에 앞서 언급한 내용을 다시 한 번 강조합니다. 이는 매우 특정한 상황이며 아무나 할 수 있는 공격은 아니지만 이에 대해 알고 필요한 경우 예방하는 것이 여전히 중요합니다.
이 발견은 보안 VPN 연결을 통해 기업 네트워크에 대한 액세스를 제공하도록 미리 구성된 랩톱의 하드 디스크에 대한 전체 액세스 권한을 얻은 Dolos Group이 며칠 전에 수행하여 공개한 조사의 결과입니다. 이러한 유형의 구성은 직원이 안전하게 원격 근무할 수 있도록 이러한 컴퓨터를 직원에게 제공하는 회사에서 매우 일반적입니다.
TPM은 안전하고 구현이 덜 안전합니다.
TPM 칩이 제공하는 보안을 감안할 때 많은 공격이 배제되었기 때문에 연구원들은 칩 자체 및 시스템 통합과 관련된 약점을 찾는 다른 접근 방식을 시도했습니다. 가장 일반적인 구성을 사용하면 암호를 입력해야 하는 이전 단계 없이 시스템이 Windows로 직접 부팅됩니다. 칩에 저장된 단일 키는 시스템 잠금을 해제하는 데 사용됩니다.
TPM 칩 자체의 구성으로 인해 콘텐츠에 직접 액세스하려는 시도는 사실상 불가능합니다. 일부 모델에는 내부 접근 시도가 감지되면 물리적 자폭 기능이 있다고도 합니다. 한편, 칩을 기판에 부착하는 지점이 너무 작아서 실제로 칩과 주고받는 데이터에 액세스하기 위해 어떤 것도 납땜하는 것이 거의 불가능합니다.
그리고 그러한 데이터 트래픽에 액세스하는 요점은 무엇입니까? 여기서 우리는 CPU에 대한 TPM 연결이 SPI(Serial Peripheral Interface) 버스를 통해 이루어지며 BitLocker의 보안 구현으로 인해 이 데이터 버스에 스니퍼를 배치하면 시스템 저장 장치의 암호 해독 키를 허용할 수 있음을 알아야 합니다. 암호화되지 않은 상태로 전송되기 때문에 얻을 수 있습니다.
이상적으로는 보안상의 이유로 TPM에는 CPU에 연결하는 전용 버스가 있어야 하지만 디자인 및 비용상의 이유로 이 연결에 사용되는 동일한 버스는 CMOS를 포함한 마더보드의 다른 구성 요소에서도 사용됩니다. 시스템의 BIOS를 수용하는 칩. 이 칩의 특별한 점은 무엇입니까? 음, TPM과 달리 마더보드에 연결하는 핀이 매우 커서 무언가를 연결하는 것이 훨씬 쉽습니다.
다음 단계는 BIOS와 TPM 칩이 모두 연결된 SPI 버스의 모든 데이터 트래픽을 분석하고 모든 데이터를 필터링하여 암호화 키를 추출하는 것이었습니다. 저장 장치의 내용에 액세스하기 위해 하드 디스크에 대한 시스템 액세스를 악용하는 데는 오랜 시간이 걸리지 않았습니다. 그 순간부터 이미 전쟁에서 승리했고 연구원들은 이미 디스크 내용을 해독하는 데 필요한 키를 얻었습니다.
드라이브 암호 해독 키를 얻으면 연구원들은 더 이상 키 없이는 시스템 잠금을 해제할 수 없는 상황에 직면할 필요가 없었습니다. 다음 단계는 SSD를 노트북에서 분리하고 다른 시스템에 연결하여 콘텐츠에 액세스하는 것이었습니다.
보기보다 더 나쁘다.
하드 드라이브의 내용을 분석하는 동안 가장 흥미로운 사실이 발견되었습니다. 바로 PC에 회사 VPN 클라이언트가 설치되어 있고 사전 설치 및 구성되어 있으며 사용할 준비가 되어 있다는 것입니다. 가정 사용자를 위한 VPN 클라이언트와 달리 기업 솔루션에는 사용자가 로그온하기 전에 연결을 설정하는 매우 흥미로운 기능이 있습니다. 이러한 방식으로, 도메인 스크립트는 전원이 켜지는 즉시 시스템에서 실행되므로 각 경우에 암호 인증(각 컴퓨터에 특정한)이 필요하지 않습니다. 이러한 시스템의 관리자에게는 악몽이 될 수 있습니다.
이것은 무엇을 의미 하는가? 글쎄, 그 시점에서 연구원과 잠재적 공격자는 잘 알려진 많은 기술에 의존하여 공격받은 시스템의 SSD에 맬웨어를 도입한 다음 PC에서 다시 조립할 수 있습니다. 그리고 해당 PC 또는 가상 머신의 디스크 덤프가 부팅되면 즉시 기업 네트워크에 액세스하여 해당 시스템뿐만 아니라 전체 인프라의 보안이 손상될 수 있습니다.
처음에 언급했듯이 이것은 시스템에 대한 물리적 액세스가 필요하고 특정 추가 보안 조치를 통해 무효화되기 때문에 복잡한 공격입니다. 가장 간단한 옵션은 사용자가 시스템(Windows가 아닌 시스템 자체)을 시작하려면 암호를 입력해야 하며 TPM과 CPU 간의 통신을 암호화하는 추가 보안 시스템을 사용할 수도 있다는 것입니다.
따라서 우리는 악용하기 쉽지 않은 보안 문제에 대해 이야기하고 있습니다. 이 문제는 재생산될 수 있고(지금은 공개되어 더욱 그렇습니다) TPM 칩이 있다고 해도 완전한 보안을 보장할 수는 없음을 보여줍니다. 따라서 시스템 시작을 암호로 잠그는 등 추가적인 조치를 취하는 것이 필수적입니다.
그리고 다른 무엇보다도 중요한 한 가지 권장 사항이 있습니다. 우리는 절대 100% 보안을 가질 수 없다는 것을 기억하십시오. TPM 칩, 매우 안전한 VPN 등이 있더라도 보안을 소홀히 해서는 안 됩니다. 컴퓨터를 감시하고, 출처가 의심스러운 소프트웨어를 설치하지 말고, 이메일로 수신하는 내용에 매우 주의하십시오. 예, 알고 있습니다. 이는 동일한 오래된 지침이지만 위협으로부터 자신을 보호할 때 그 중요성은 근본적입니다.