Microsoft publicó ayer el aviso de seguridad ADV180028, Guidance for configuring BitLocker to enforce software encryption. La asesoría es una respuesta al artículo de investigación Self-encrypting deception: weaknesses in the encryption of solid state drives (SSDs) de los investigadores holandeses de seguridad Carlo Meijer y Bernard von Gastel de la Universidad de Radboud (PDF aquí).
Los investigadores descubrieron una vulnerabilidad en las unidades de estado sólido que admiten cifrado de hardware y que les permitía recuperar datos de la unidad cifrada sin conocer la contraseña utilizada para cifrar los datos de la misma.
La vulnerabilidad requiere acceso local a la unidad ya que es necesario manipular el firmware de la misma para acceder a los datos.
Los investigadores de seguridad probaron varias unidades de estado sólido minoristas que admiten cifrado de hardware y encontraron la vulnerabilidad en cada una de ellas, incluidas las unidades Crucial MX100, MX200 y MX3000, Samsung T3 y T5, y Samsung 840 Evo y 850 Evo.
Cómo se ve afectado BitLocker
BitLocker admite el cifrado de software y hardware, pero utiliza el cifrado de hardware de forma predeterminada si la unidad lo admite. Medios: cualquier unidad que soporte cifrado de hardware puede verse afectada por el problema en Windows.
Microsoft sugiere que los administradores cambien el modo de cifrado de hardware a software para abordar el problema y resolverlo al mismo tiempo.
Verificar el método de cifrado
Los administradores de sistema pueden comprobar el método de cifrado utilizado en los dispositivos de Windows de la siguiente manera:
- Abra un símbolo del sistema elevado, por ejemplo, abriendo el menú Inicio, escribiendo cmd.exe, haciendo clic con el botón derecho en el resultado y seleccionando la opción “Ejecutar como administrador”.
- Confirme el mensaje UAC que se muestra.
- Tipo manage-bde.exe -status.
- Compruebe si hay “Cifrado por hardware” en Método de cifrado.
Las unidades de estado sólido utilizan cifrado de software si no encuentra el cifrado de hardware al que se hace referencia en la salida.
Cómo cambiar al cifrado de software BitLocker
Los administradores pueden cambiar el método de cifrado a software si BitLocker utiliza las capacidades de cifrado de hardware de una unidad en un equipo con Windows.
BitLocker no puede cambiar automáticamente al cifrado por software si una unidad utiliza el cifrado por hardware. El proceso necesario consiste en habilitar el cifrado de software como predeterminado, descifrar la unidad y cifrarla con BitLocker.
Microsoft señala que no es necesario formatear la unidad ni volver a instalar el software al cambiar el método de cifrado.
Lo primero que hay que hacer es aplicar el uso de cifrado de software mediante la directiva de grupo.
- Abra el menú Inicio.
- Escriba gpedit.msc
- 1. Vaya a Configuración del equipo> Plantillas administrativas> Componentes de Windows> Cifrado de unidad Bitlocker.
- Para la unidad del sistema, abra Unidades del sistema operativo y haga doble clic en Configurar el uso de cifrado basado en hardware para las unidades del sistema operativo.
- Para unidades de fecha fija, abra Unidades de datos fijas y haga doble clic en Configurar el uso de cifrado basado en hardware para unidades de datos fijas.
- Para unidades extraíbles, abra Unidades de datos extraíbles y haga doble clic en Configurar el uso de cifrado basado en hardware para unidades de datos extraíbles
.
- Establezca las políticas necesarias en Desactivado. Un valor de desactivado obliga a BitLocker a utilizar el cifrado por software para todas las unidades, incluso para aquellas que admiten el cifrado por hardware.
La configuración se aplica a las unidades nuevas que se conectan al equipo. BitLocker no aplicará el nuevo cifrado m