返回

微软警告说新的安全漏洞会影响Surface Pro 3设备

发布时间:2022-02-23 08:36:11 813
# 漏洞# 设备# 软件# 信息# 软件

微软发布了一条新的警告,称存在一个影响Surface Pro 3可转换笔记本电脑的安全绕过漏洞,对手可以利用该漏洞在企业网络中引入恶意设备,并破坏设备认证机制。

该问题被追踪为CVE-2021-42299(CVSS分数:5.6),谷歌软件工程师克里斯·芬纳(Chris Fenner)将其命名为“TPM全权委托”(TPM Carte Blanche),他被认为发现并报告了这种攻击技术。截至本文撰写之时,其他Surface设备,包括Surface Pro 4和Surface Book,都被认为不受影响,尽管其他使用类似BIOS的非Microsoft机器可能会受到攻击。

“设备使用平台配置寄存器(PCR)记录有关设备和软件配置的信息,以确保引导过程是安全的,”这家Windows制造商在公告中指出。“Windows使用这些PCR测量来确定设备健康状况。通过将任意值扩展到平台配置寄存器(PCR)库中,易受攻击的设备可以伪装成健康的设备。”

然而,值得注意的是,发起攻击需要物理访问目标受害者的设备,或者坏行为人之前已经泄露了合法用户的凭据。微软表示,已“尝试”通知所有受影响的供应商。

在Windows 10中引入的设备健康认证(DHA)是一种企业安全功能,可确保客户端计算机具有可靠的BIOS、可信模块平台(TPM)和启动软件配置,如早期启动反恶意软件(ELAM)、安全启动等。换句话说,DHA是用来证明Windows计算机的启动状态的。

DHA服务通过审查和验证设备的TPM和PCR引导日志来实现这一点,以发布描述设备如何启动的防篡改DHA报告。但是,通过将该漏洞武器化,攻击者可以破坏TPM和PCR日志以获取虚假证明,从而有效地破坏设备健康证明验证过程。

芬纳说:“在Surface Pro 3上运行最新的平台固件,并启用了SHA1和SHA256 PCR,如果设备被引导到Ubuntu20.04 LTS,则SHA256 bank低PCR中根本没有测量值。”。“这是有问题的,因为这允许根据所需的任何Windows启动日志进行任意、错误的测量(例如,从Linux userland)。可以使用所附TPM中的合法[Detection Key]请求对不诚实的测量进行诚实的引用。”

在现实世界中,CVE-2021-42299可能被滥用,通过获取TCG日志—;它记录在引导过程中所做的测量—;来自攻击者想要模拟其健康状况的目标设备,然后向DHA服务发送有效的健康证明请求。

有关此次攻击和概念验证(PoC)攻击的其他技术细节可以从谷歌的安全研究存储库访问。


特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线