Hilfe für das TPM-Sicherheitsproblem: Das MBAM TAP erkennt die Schwachstelle

Eine neues Security-Problem bedroht die Sicherheit der vertraulichen Daten: TPM-Chipsätze erlauben möglicherweise einen “Security Feature Bypass”. Eine Lösung ist bereits da: Das MBAM Test Automation Package (MBAM TAP) unterstützt in der neuen Version die IT-Administratoren bei der Prüfung, ob ein Risiko in der IT-Infrastruktur vorliegt.

Vorsicht: TPM-Chipsätze

Neben den handfesten regulatorischen Vorgaben, die Firmware, das Betriebssysteme und die Software nach dem aktuellen Stand der Technik zu betreiben und damit auch regelmäßig zu aktualisieren, gibt es derzeit wieder mindestens ein weiteres wichtiges Argument aus der Informationssicherheit, nach Firmware-Updates von bestimmten Herstellern Ausschau zu halten.

Der Grund: Aufgrund einer aktuellen Schwachstelle ist darauf zu achten, die aktuelle Firmware für die im Einsatz befindlichen Anwender-Computer und -Server einzuspielen oder entsprechende mitigierende Maßnahmen zu ergreifen.

Was genau ist das Problem?

Es existiert eine Schwachstelle in diversen TPM-Chipsätzen (Erläuterung siehe unten). Die Schwachstelle sorgt unter Umständen für kompromittierbare Schlüssel. Das Problem ist keine Schwachstelle im Betriebssystem (bspw. Windows oder Linux) oder einer speziellen Anwendung/Applikation, sondern im Chipsatz an sich.

Welches Risiko besteht durch die TPM-Sicherheitslücke?

Es besteht das Risiko, dass durch Ausnutzung der Schwachstelle Daten abhanden kommen, die personenbezogen, vertraulich und/oder streng vertraulich sind und somit Risiken und Meldepflichten auslösen können.

Wie erkennt man, ob das System betroffen ist?

MBAM TAP (Bild: FB Pro GmbH)Ob man von der Sicherheitsproblemen mit TPM-Chipsätzen betroffen ist oder nicht, kann mit unserem MBAM Test Automation Package, kurz MBAM TAP, erkannt werden. Für das kostenlose Tool ist ein neues Update erschienen, mit dem das System auf das TPM-Problem überprüft wird. Das Ergebnis dieser Prüfung sieht man im Report des automatisierten MBAM TAP.

Alternativen sind detailliert im unten verlinkten Microsoft-Artikel in Kapitel 2 beschrieben und folgen hier daher nur als Zusammenfassungen:

a) Einträge im Ereignisprotokoll manuell prüfen
b) Script-basierte Automatismen nutzen
c) Manuelle Prüfung der TPM-Chipsätze mittels Microsoft Management Console (MMC)

Welche möglichen Handlungsoptionen ergeben sich?

Neben der Durchführung des Firmware-Updates bei betroffenen Systemen folgen weitere Möglichkeiten, die ggfs. temporär genutzt werden können:

Aktion Vorteile Nachteile Risiko
Beibehalten des verwendeten TPM-basierten Schlüsselmaterials Schlüsselmaterial ist auf TPM gebunden und kann den Rechner nicht verlassen Durch die Schwachstelle ggfs. kompromittierbares Schlüsselmaterial wird weiter genutzt Datenverlust, Verletzung der Vertraulichkeit
Erzeugung von software-basiertem Schlüsselmaterial ohne Bindung an den TPM-Chip Potentiell temporäre Lösung, kryptografisch einwandfreies und entsprechend sicheres Schlüsselmaterial Wird auf der lokalen Maschine gespeichert Schlüsselmaterial nicht durch TPM geschützt
Aktualisierung der Firmware Permanente Lösung Ggfs. nicht kurzfristig bei jedem Hersteller verfügbar Ohne temporäre Maßnahmen muss das entstehende Risiko akzeptiert werden

Hinweis:

Bevor mit den kryptografischen Schlüsseln gearbeitet wird, unbedingt die Verfügbarkeit der Recovery-Keys und das Vorhandensein einer geprüften Datensicherung sicherstellen!

Im Falle eines Firmware-Updates die Bitlocker-Verschlüsselung pausieren (ggfs. für mehrere Neustarts, je nach Update-Prozess) und nach dem Update der Firmware prüfen, ob das Firmware-Update erfolgreich eingespielt wurde und BitLocker wieder aktiviert (“resumed”) ist.

Was ist ein TPM-Chip?

Frei nach Wikipedia: “Das Trusted Platform Module (TPM) ist ein Chip nach der TCG-Spezifikation, der einen Computer oder ähnliche Geräte um grundlegende Sicherheitsfunktionen erweitert. Diese Funktionen können beispielsweise den Zielen des Lizenzschutzes oder denen des Datenschutzes (bspw. zur sicheren Speicherung des für Verschlüsselung verwendeten Schlüsselmaterials) dienen. Der Chip verhält sich in einigen Punkten wie eine fest eingebaute Smartcard, allerdings mit dem wichtigen Unterschied, dass er nicht an einen konkreten Benutzer (Benutzer-Instanz), sondern an den lokalen Computer (Hardware-Instanz) gebunden ist. (..)”

Mehr Details: https://de.wikipedia.org/wiki/Trusted_Platform_Module

Referenzen


>> MBAM Test Automation Package: Infos & Download

Bild: Pixabay

Schreibe einen Kommentar