Crittografia di Windows 11 violata in soli 43 secondi

Un ricercatore di sicurezza ha scoperto una falla critica nella crittografia di Windows 11 che consente di bypassare la protezione BitLocker in meno di un minuto utilizzando un dispositivo economico come Raspberry Pi Pico. Lo puoi acquistare a meno di 5 euro.

BitLocker è una funzionalità di crittografia integrata in Windows 10 Pro e Windows 11 Pro che protegge i dati degli utenti crittografando l’intero disco rigido. Tuttavia, la falla scoperta dal ricercatore, noto come “stacksmashing“, consente di intercettare le chiavi di crittografia mentre vengono trasferite tra la CPU e il Trusted Platform Module (TPM) esterno, che è un chip di sicurezza utilizzato per memorizzare le informazioni di crittografia.

Per sfruttare questa falla, stacksmashing ha creato un dispositivo Raspberry Pi Pico che può essere collegato al connettore LPC non protetto sulla scheda madre di un laptop. Questo connettore consente di leggere i dati grezzi dal TPM, comprese le chiavi di crittografia.

Leggi anche:

• La crittografia end-to-end di WhatsApp non è sicura come credi

Il ricercatore ha dimostrato la vulnerabilità su un laptop di dieci anni fa con crittografia BitLocker, ma ha affermato che lo stesso tipo di attacco può essere utilizzato su schede madri più recenti che utilizzano un TPM esterno. Tuttavia, ha precisato che le CPU con TPM integrato, come quelle nei moderni processori Intel e AMD, dovrebbero essere al sicuro da questa falla di sicurezza.

Stacksmashing ha pubblicato un video su YouTube che mostra come ha sfruttato questa vulnerabilità per bypassare la crittografia BitLocker e accedere ai dati protetti su un laptop. Il video ha suscitato preoccupazione tra gli utenti di Windows 11 e ha spinto Microsoft a rilasciare una patch di sicurezza per correggere la falla.

La patch di sicurezza è disponibile tramite Windows Update e gli utenti di Windows 11 sono invitati a installarla il prima possibile per proteggere i propri dati da potenziali attacchi.

Fonte

Ti potrebbe interessare:

• Videochiamata deepfake troppo reale: maxi truffa per un dipendente

Segui guruhitech su:

• Google News: bit.ly/gurugooglenews
• Instagram: instagram.com/guruhitech_official
• Telegram: t.me/guruhitech
• Facebook: facebook.com/guruhitechweb
• Twitter: twitter.com/guruhitech1
• Threads: threads.net/@guruhitech_official
• Bluesky: bsky.app/profile/guruhitech.bsky.social
• GETTR: gettr.com/user/guruhitech
• Rumble: rumble.com/user/guruhitech
• VKontakte: vk.com/guruhitech
• MeWe: mewe.com/i/guruhitech
• Skype: live:.cid.d4cf3836b772da8a
• WhatsApp: bit.ly/whatsappguruhitech

Esprimi il tuo parere!

Che ne pensi di questa notizia? Lascia un commento nell’apposita sezione che trovi più in basso e se ti va, iscriviti alla newsletter.

Per qualsiasi domanda, informazione o assistenza nel mondo della tecnologia, puoi inviare una email all’indirizzo [email protected].