Black Hat은 보안 관련 일을 하시는 분이라면 누구나 한 번쯤은 들어보셨을 산업계 중심의 학회인데요, 수천 명이 참석하는 학회이고 아시아(Black Hat Asia), 미국(Black Hat USA), 유럽(Black Hat Europe)에서 매년 열리고 있습니다. 저도 Black Hat에 발표자로 선정되는 것이 꿈이어서 꾸준히 도전했는데, 논문이 계속 물만 먹다가(?!) Black Hat Asia 2017에 처음으로 논문이 붙었습니다. ^^;;; 그때 발표한 것이 Intel 가상화 기술(VT-x, VT-d)을 이용해서 제가 직접 만든 커널 보호 기술(Shadow-box)이었는데요, Shadow-box에 대한 발표 자료, 백서, 소스코드는 아래에서 보실 수 있습니다.

2017년에 Black Hat Asia에 발표자로 선정된 뒤로 꾸준히 Black Hat Asia에서 발표를 해왔는데요, 2019년에는 Black Hat Asia에 이어 Black Hat Europe에서도 발표를 해서(무려 두 번!!) 더 특별한 한 해였습니다. 그.리.고! 작년 Black Hat Europe 2019의 발표가 대박이 나서 Black Hat Asia 2020에 초청되어 한 번 더 발표하게 되었습니다. ^0^)/ Black Hat은 지난번 학회에서 반응이 좋았던 발표를 골라서 다음 학회에서 다시 발표할 수 있도록 기회를 주고 있는데요, 제가 이번에 당첨이 된 것이지요! 발표 내용은 제가 발견한 신뢰플랫폼모듈(Trusted Platform Module, TPM)의 취약점과 이를 이용하여 마이크로소프트의 비트락커(BitLocker)를 해제하는 내용입니다.

마이크로소프트의 BitLocker는 사용자의 디스크를 TPM과 함께 암호화하여 정보 유출을 막는 보안 소프트웨어인데요, 윈도우즈 7(Windows 7) 이상을 사용하신다면 이를 활성화하여 데이터를 안전하게 보호할 수 있습니다. 마이크로소프트의 비트락커(BitLocker)에서 정보(비트)를 새어 나오게 만든다고 이름을 BitLeaker로 지었는데, 나름 반응이 좋았던 것 같습니다. ^^;;; Black Hat Europe 2019의 BitLeaker 발표 내용과 소스코드는 아래에서 보실 수 있습니다.

저도 처음에 Black Hat의 프로그램 매니저로부터 연락을 받고 조금 얼떨떨했는데요, 좋은 기회를 얻었으니 열심히 해보겠습니다. ^^;;; 그동안 진행했던 내용을 BitLeaker에 다 넣어 만들어서 그런지, Europe에서 발표할 때 체력의 한계를 느꼈는데(후우...), 이번에 한 번 더 탈진할 것 같은 기분(?!)을 느낄 수 있겠네요. 쿨럭..;;;

그럼 Black Hat Asia 2020에서 뵙겠습니다!

학회 링크: https://www.blackhat.com/asia-20/

https://www.blackhat.com/asia-20/

작년 말에 TPM(Trusted Platform Module)과 관련한 취약점과 이로 인해 마이크로소프트사의 디스크 암호화 기법인 비트락커(BitLocker)가 풀릴 수 있다는 내용을 Black Hat Europe 2019에서 발표했습니다. 그때 앞줄 가까이 앉아있던 친구가 있었는데, 그 친구가 덴마크에서 Version 2라는 IT 전문 미디어를 운영하고 있었군요. ^^;;;

덴마크어로 되어 있어서 구글 번역기를 돌려야 했지만... 쿨럭...;; 내용이 잘 정리되어 있어서 깜짝 놀랐습니다. 기사를 정리해준 Jakob 덕분에 새해 초부터 선물을 받은 기분입니다. 기사는 아래에서 보실 수 있습니다(하지만... 덴마크어라 언어의 장벽이....).

그럼 좋은 하루 되시고, 새해 복 많이 받으십시오. _(_ _)_ 

https://www.version2.dk/artikel/har-du-mistet-adgang-din-bitlocker-partition-maaske-kan-bitleaker-hjaelpe-1089646

 

Har du mistet adgang til din Bitlocker-partition? Måske kan Bitleaker hjælpe

Bitleaker blev præsenteret på Black Hat-konferencen i London. Værktøjet gør det muligt at tilgå Windows-kryptering helt uden autentifikaton.

www.version2.dk

 

간만에 쓰는 장문의 글이라 세 줄 요약부터 하겠습니다.

  1. Black Hat Europe 2019에 하드웨어 및 펌웨어 TPM과 Microsoft사의 BitLocker 취약점 관련 내용 발표 예정 BitLeaker: Subverting BitLocker with One Vulnerability

  2. 소프트웨어만으로 BitLocker의 주요 키(Volume Master Key, VMK)를 추출한 건 최초이며 관련 데모 영상은 https://youtu.be/H6uAkLC_8kQ 에서 확인 가능

  3. BIOS/UEFI 펌웨어를 최신으로 업데이트 필요. 보증기간이 지나 업데이트가 불가능하면 PIN 옵션과 함께 BitLocker 사용

이하 본문입니다. ^^;; Black Hat Europe 2019가 벌써 다음 주에 열리네요! 이번에도 TPM 취약점으로 #BlackHat Europe에 발표하러 가게 되었는데요, Black Hat Asia에 제출된 논문들을 리뷰하느라 이제야 준비를 거의 마쳤습니다! 이전 발표와 차이점이라면 Microsoft사의 BitLocker와 Intel사의 PTT(Platform Trust Technology) 관련된 내용이 추가된 것입니다. ^^;;; (발표 내용은 Black Hat Europe 2019에서 보실 수 있습니다.)

사실 TPM 취약점은 이미 작년에 USENIX Security를 통해서 공개가 되었습니다. 다만, 같은 류의 절전 모드 취약점이 펌웨어 TPM(Intel PTT)에서도 발견되어 Intel에 관련 내용을 전달하고 이번 발표에 추가했습니다. Intel PTT는 하드웨어 TPM과 달리 펌웨어로 동작하기 때문에 제조사의 입장에서는 별도의 비용이 들지 않고, TPM 2.0의 기능을 갖추고 있어서 저가 제품부터 고가 제품까지 널리 사용되고 있습니다. Microsoft사의 BitLocker 역시 Intel PTT로 구동이 가능하고 가장 중요한 키인 VMK(Volume Master Key)를 하드웨어 TPM이나 펌웨어 TPM으로 암호화하고 있습니다.

하지만, 안타깝게도 TPM 2.0의 취약점으로 인해 암호화된 VMK가 노출되고, 노출된 VMK로 BitLocker로 암호화된 영역을 해제하여 데이터를 읽어낼 수 있습니다. 그동안의 연구들은 TPM에 물리적으로 접근하여 VMK를 읽어냈지만, 소프트웨어만으로 VMK를 추출해 낸 것은 저희 연구가 처음이라 최대한 많은 내용을 발표에 담고 해결책을 제시하려고 노력했습니다. VMK 추출 및 BitLocker 복호화 관련 데모는 BitLeaker Demo 에서 보실 수 있습니다.

그나마 다행인 것은 제조사들이 패치를 진행하고 있으며, 최신의 BIOS/UEFI 펌웨어로 업데이트하면 위협이 사라진다는 점입니다. 하지만, 보증기간이 지난 제품들은 여전히 위협에 노출된 상태이기에 분실이 가능한 모바일 단말의 경우 주의가 필요합니다.

해결방법은 의외로 간단합니다. Black Hat Europe에서도 발표될 예정이지만 BitLocker와 PIN을 함께 사용하면 됩니다. PIN을 활성화하면 TPM이 암호화된 VMK를 해제할 때 이를 사용하기 때문에, TPM 취약점이 존재해도 VMK가 쉽게 노출되지 않습니다. PIN을 활성화하려면 "제어판" -> "시스템 및 보안" -> "BitLocker 드라이브 암호화"로 이동하셔서 "시작 시 드라이브의 잠금 해제 방법 변경"을 클릭하시고 "PIN 사용"을 클릭하시면 됩니다. TPM 취약점이 해결되었는지 아닌지를 고민하고 싶지 않다면, PIN과 함께 BitLocker를 사용하시길 권합니다. ^^;;

Demo - BitLeaker: Subverting BitLocker with One Vulnerability

+ Recent posts