openPGP в России / Новости / 2008 / Критическая уязвимость в TrueCrypt 5.1 (версия для печати)

11.03 // Критическая уязвимость в TrueCrypt 5.1

10.03.2008 вышел релиз TrueCrypt 5.1 одной из добавленых фич которого является поддержка hibernation. Посмотрев исходный код TrueCrypt, я обнаружил критическую уязвимость приводящую на некоторых конфигурациях железа к полному раскрытию всех ключей шифрования находившихся в памяти в момент использования hibernate. Это дает возможность дешифрования загрузочного раздела, и весьма вероятно всех подключенных контейнеров.

Уязвимость находится в файле DriveFilter.c, и заключается в некорректной реализации перехвата исполнения точки входа dump port драйвера. TrueCrypt определяет нужный драйвер путем сравнения его имени со следующим списком:

static wchar_t *hiberDriverNames[] =
{
	L"hiber_ataport.sys",
	L"hiber_storport.sys",
	L"hiber_scsiport.sys",
	NULL
};

static wchar_t *hiberDriverNamesBeforeVista[] =
{
	L"hiber_atapi.sys",
	L"hiber_scsi.sys",
	L"hiber_atapiport.sys",
	L"hiber_scsiport.sys",
	L"hiber_storport.sys",
	NULL
};

Если вы используете нестандартный storage контроллер, то он может иметь свой драйвер реализующий функциональность dump port, и в этом случае содержимое памяти будет записано на диск в открытом виде, что позволяет извлечь ключи шифрования просто просканировав данные на диске.

Еще одна уязвимость находится в этом участке кода:

if (hiberDriverContext->AtapiWriteRoutine)
{
	OriginalHiberDriverAtapiWriteRoutine = hiberDriverContext->AtapiWriteRoutine;
	hiberDriverContext->AtapiWriteRoutine = HiberDriverAtapiWriteRoutineFilter;
}

if (hiberDriverContext->ScsiWriteRoutine)
{
	OriginalHiberDriverScsiWriteRoutine = hiberDriverContext->ScsiWriteRoutine;
	hiberDriverContext->ScsiWriteRoutine = HiberDriverScsiWriteRoutineFilter;
}

Структура HiberDriverContext в TrueCrypt описана не полностью. Она имеет слудеющий вид:

typedef struct
{
	// Until MS releases an API for filtering hibernation drivers, we have to resort to this.
#ifdef _WIN64
	byte FieldPad1[64];
	HiberDriverScsiWriteRoutine ScsiWriteRoutine;
	byte FieldPad2[56];
#else
	byte FieldPad1[48];
	HiberDriverScsiWriteRoutine ScsiWriteRoutine;
	byte FieldPad2[32];
#endif
	HiberDriverAtapiWriteRoutine AtapiWriteRoutine;
	byte FieldPad3[24];
	LARGE_INTEGER PartitionStartOffset;
} HiberDriverContext;

Оригинальная структура взятая из открытых источников (отладочных символов на ядро) должна иметь такой вид:

typedef struct _DUMP_INITIALIZATION_CONTEXT {
    ULONG Length;
    ULONG Reserved;            
    PVOID MemoryBlock;
    PVOID CommonBuffer[2];
    PHYSICAL_ADDRESS PhysicalAddress[2];
    PSTALL_ROUTINE StallRoutine;
    PDUMP_DRIVER_OPEN OpenRoutine;
    PDUMP_DRIVER_WRITE WriteRoutine;
    PDUMP_DRIVER_FINISH FinishRoutine;
    struct _ADAPTER_OBJECT *AdapterObject;
    PVOID MappedRegisterBase;
    PVOID PortConfiguration;
    BOOLEAN CrashDump;
    ULONG MaximumTransferSize;
    ULONG CommonBufferSize;
    PVOID TargetAddress; 
    PDUMP_DRIVER_WRITE_PENDING WritePendingRoutine;
    ULONG PartitionStyle;
    union {
        struct {
            ULONG Signature;
            ULONG CheckSum;
        } Mbr;
        struct {
            GUID DiskId;
        } Gpt;
    } DiskInfo;
} DUMP_INITIALIZATION_CONTEXT, *PDUMP_INITIALIZATION_CONTEXT;

typedef struct _DUMP_STACK_CONTEXT {
    DUMP_INITIALIZATION_CONTEXT Init;
    LARGE_INTEGER               PartitionOffset;
    PVOID                       DumpPointers;
    ULONG                       PointersLength;
    PWCHAR                      ModulePrefix;
    LIST_ENTRY                  DriverList;
    ANSI_STRING                 InitMsg;
    ANSI_STRING                 ProgMsg;
    ANSI_STRING                 DoneMsg;
    PVOID                       FileObject;
    enum _DEVICE_USAGE_NOTIFICATION_TYPE    UsageType;
} DUMP_STACK_CONTEXT, *PDUMP_STACK_CONTEXT;

Как вы видите, имеются два обработчика записи данных на диск. Это WriteRoutine и WritePendingRoutine. TrueCrypt обрабатывает только WritePendingRoutine, и если драйвер дамп порта не поддерживает WritePendingRoutine, то данные будут писаться через WriteRoutine, что опять же вызовет утечку ключей шифрования. В частности Windows 2000 всегда использует WriteRoutine, поэтому в этой ОС узявимость проявлялась бы всегда, если бы TrueCrypt мог работать на ней.

Уязвимости подвержены пользователи держащие систему на аппатарных RAID, а частности на популярном чипе Intel Matrix Storage.
Способы решения уязвимости: отключить hibernate в настройках электропитания. В случае если вы уже использовали hibernate вы должны проверить удалился ли файл hiberfil.sys и затереть все свободное место на диске программой безопасного уничтожения информации.