您好,欢迎访问利联科技官网!    24小时服务热线:400-161-0880    我们有最适合您的产品和最好的服务。登录  /  注册  /  旧平台入口

微软发布警告,新的安全漏洞会影响Surface Pro 3设备

 

微软发布了一项新的警告,警告存在影响Surface Pro 3可转换笔记本电脑的安全绕过漏洞,对手可利用该漏洞在企业网络中引入恶意设备,并破坏设备认证机制。


被追踪为CVE-2021-42299(CVSS分数:5.6),谷歌软件工程师克里斯·芬纳(Chris Fenner)将该问题命名为“TPM全权委托”(TPM Carte Blanche),他被认为是发现和报告攻击技术的功臣。在撰写本文时,其他Surface设备(包括Surface Pro 4和Surface Book)被视为未受影响,尽管其他使用类似BIOS的非Microsoft机器可能存在漏洞。


“设备使用平台配置寄存器(PCR)记录有关设备和软件配置的信息,以确保引导过程是安全的,”Windows制造商在公告中指出。“Windows使用这些PCR测量来确定设备运行状况。通过将任意值扩展到平台配置寄存器(PCR)库中,易受攻击的设备可以伪装成运行状况良好的设备。”


然而,值得注意的是,实施攻击需要物理访问目标受害者的设备,或者坏行为人之前已经泄露了合法用户的凭据。微软表示,已“尝试”通知所有受影响的供应商。


在Windows 10中引入的设备健康认证(DHA)是一种企业安全功能,可确保客户端计算机具有可靠的BIOS、可信模块平台(TPM)和启动软件配置,如早期启动反恶意软件(ELAM)、安全启动等。换句话说,DHA是用来证明Windows计算机的启动状态的。


DHA服务通过审查和验证设备的TPM和PCR引导日志来实现这一点,以发布描述设备如何启动的防篡改DHA报告。但是,通过将此缺陷武器化,攻击者可以破坏TPM和PCR日志以获取虚假证明,从而有效地破坏设备健康证明验证过程。


芬纳说:“在一台运行最新平台固件并启用SHA1和SHA256 PCR的Surface Pro 3上,如果该设备被引导到Ubuntu 20.04 LTS,则SHA256 bank低PCR中根本没有测量值。”。“这是有问题的,因为这允许根据所需的任何Windows启动日志进行任意、错误的测量(例如,从Linux userland)。可以使用所附TPM中的合法[认证密钥]请求对不诚实测量的诚实报价。”


在现实场景中,CVE-2021-42299可能被滥用,通过从攻击者想要模拟其健康状况的目标设备获取TCG日志(该日志记录了启动序列中所做的测量),然后向DHA服务发送有效的健康证明请求,从而获取虚假的Microsoft DHA证书。


有关此次攻击和概念验证(PoC)攻击的其他技术细节可以从谷歌的安全研究存储库中访问。

您可能还会对下面的文章感兴趣: