在系统处于睡眠状态时访问自加密驱动器上的数据

Lenovo 安全公告：LEN-2910

潜在影响：物理访问加密数据

重要性：供参考

摘要：

在 BlackHat Europe 2015 大会上，KPMG 披露了一个行业范围内的漏洞，该漏洞会影响采用基于硬件的全磁盘加密（FDE）的硬盘驱动器。这些驱动器被称为自加密驱动器（SED），拥有专用的硬件，可对存储在其上面的数据进行加密。

此漏洞会影响设备的物理安全性，使研究人员能够在系统开启或处于睡眠模式（ACPI Mode S3）时访问 SED 驱动器上的数据。

研究人员对来自不同厂商的多个系统进行了测试，发现此漏洞是一个行业性问题。

解决方案：

应采取哪些措施进行自我保护：

Lenovo 建议客户始终部署对其系统的物理保护，并且，在系统无人照管时让系统休眠或关闭系统，而不是使用睡眠模式，以确保最佳的系统安全性。对于所有 Lenovo 产品，这将抵御报告中详细说明的所有攻击方式。需要保护计算机资产的客户应始终保持对所有系统的物理控制，并将此作为安全性最佳实践的一部分。

在研究人员发表报告之前，Lenovo 就主动缓解了其中一些攻击，在这一点上，Lenovo 领先于研究中接受测试的其他系统。如果在系统处于睡眠模式时检测到驱动器被卸下，则安装了 SED 并配置了硬盘驱动器密码的 ThinkPad 系统将自动重启。

此外，ThinkPad BIOS 还提供了一个选项，即“重新启动时需要密码”，在此选项下，如果系统被迫进入 Windows 蓝屏，系统将需要密码才能重新启动。Lenovo 建议担心此类攻击的客户启用此设置。

请参阅 ThinkPad BIOS 安全白皮书，以获取更多 ThinkPad BIOS 配置安全性最佳实践建议。

备注:

致谢：

谨此对 KPMG Canada 的 Daniel Boteanu 和 Danny Garwood 表示感谢。

其他信息和参考资料：

KPMG Canada 发来的报告可在此查看>>

修订历史：