간만에 쓰는 장문의 글이라 세 줄 요약부터 하겠습니다.

  1. Black Hat Europe 2019에 하드웨어 및 펌웨어 TPM과 Microsoft사의 BitLocker 취약점 관련 내용 발표 예정 BitLeaker: Subverting BitLocker with One Vulnerability

  2. 소프트웨어만으로 BitLocker의 주요 키(Volume Master Key, VMK)를 추출한 건 최초이며 관련 데모 영상은 https://youtu.be/H6uAkLC_8kQ 에서 확인 가능

  3. BIOS/UEFI 펌웨어를 최신으로 업데이트 필요. 보증기간이 지나 업데이트가 불가능하면 PIN 옵션과 함께 BitLocker 사용

이하 본문입니다. ^^;; Black Hat Europe 2019가 벌써 다음 주에 열리네요! 이번에도 TPM 취약점으로 #BlackHat Europe에 발표하러 가게 되었는데요, Black Hat Asia에 제출된 논문들을 리뷰하느라 이제야 준비를 거의 마쳤습니다! 이전 발표와 차이점이라면 Microsoft사의 BitLocker와 Intel사의 PTT(Platform Trust Technology) 관련된 내용이 추가된 것입니다. ^^;;; (발표 내용은 Black Hat Europe 2019에서 보실 수 있습니다.)

사실 TPM 취약점은 이미 작년에 USENIX Security를 통해서 공개가 되었습니다. 다만, 같은 류의 절전 모드 취약점이 펌웨어 TPM(Intel PTT)에서도 발견되어 Intel에 관련 내용을 전달하고 이번 발표에 추가했습니다. Intel PTT는 하드웨어 TPM과 달리 펌웨어로 동작하기 때문에 제조사의 입장에서는 별도의 비용이 들지 않고, TPM 2.0의 기능을 갖추고 있어서 저가 제품부터 고가 제품까지 널리 사용되고 있습니다. Microsoft사의 BitLocker 역시 Intel PTT로 구동이 가능하고 가장 중요한 키인 VMK(Volume Master Key)를 하드웨어 TPM이나 펌웨어 TPM으로 암호화하고 있습니다.

하지만, 안타깝게도 TPM 2.0의 취약점으로 인해 암호화된 VMK가 노출되고, 노출된 VMK로 BitLocker로 암호화된 영역을 해제하여 데이터를 읽어낼 수 있습니다. 그동안의 연구들은 TPM에 물리적으로 접근하여 VMK를 읽어냈지만, 소프트웨어만으로 VMK를 추출해 낸 것은 저희 연구가 처음이라 최대한 많은 내용을 발표에 담고 해결책을 제시하려고 노력했습니다. VMK 추출 및 BitLocker 복호화 관련 데모는 BitLeaker Demo 에서 보실 수 있습니다.

그나마 다행인 것은 제조사들이 패치를 진행하고 있으며, 최신의 BIOS/UEFI 펌웨어로 업데이트하면 위협이 사라진다는 점입니다. 하지만, 보증기간이 지난 제품들은 여전히 위협에 노출된 상태이기에 분실이 가능한 모바일 단말의 경우 주의가 필요합니다.

해결방법은 의외로 간단합니다. Black Hat Europe에서도 발표될 예정이지만 BitLocker와 PIN을 함께 사용하면 됩니다. PIN을 활성화하면 TPM이 암호화된 VMK를 해제할 때 이를 사용하기 때문에, TPM 취약점이 존재해도 VMK가 쉽게 노출되지 않습니다. PIN을 활성화하려면 "제어판" -> "시스템 및 보안" -> "BitLocker 드라이브 암호화"로 이동하셔서 "시작 시 드라이브의 잠금 해제 방법 변경"을 클릭하시고 "PIN 사용"을 클릭하시면 됩니다. TPM 취약점이 해결되었는지 아닌지를 고민하고 싶지 않다면, PIN과 함께 BitLocker를 사용하시길 권합니다. ^^;;

Demo - BitLeaker: Subverting BitLocker with One Vulnerability

+ Recent posts