微软警告说新的安全漏洞会影响Surface Pro 3设备

微软发布了一条新的警告，称存在一个影响Surface Pro 3可转换笔记本电脑的安全绕过漏洞，对手可以利用该漏洞在企业网络中引入恶意设备，并破坏设备认证机制。

该问题被追踪为CVE-2021-42299（CVSS分数：5.6），谷歌软件工程师克里斯·芬纳（Chris Fenner）将其命名为“TPM全权委托”（TPM Carte Blanche），他被认为发现并报告了这种攻击技术。截至本文撰写之时，其他Surface设备，包括Surface Pro 4和Surface Book，都被认为不受影响，尽管其他使用类似BIOS的非Microsoft机器可能会受到攻击。

“设备使用平台配置寄存器（PCR）记录有关设备和软件配置的信息，以确保引导过程是安全的，”这家Windows制造商在公告中指出。“Windows使用这些PCR测量来确定设备健康状况。通过将任意值扩展到平台配置寄存器（PCR）库中，易受攻击的设备可以伪装成健康的设备。”

然而，值得注意的是，发起攻击需要物理访问目标受害者的设备，或者坏行为人之前已经泄露了合法用户的凭据。微软表示，已“尝试”通知所有受影响的供应商。

在Windows 10中引入的设备健康认证（DHA）是一种企业安全功能，可确保客户端计算机具有可靠的BIOS、可信模块平台（TPM）和启动软件配置，如早期启动反恶意软件（ELAM）、安全启动等。换句话说，DHA是用来证明Windows计算机的启动状态的。

DHA服务通过审查和验证设备的TPM和PCR引导日志来实现这一点，以发布描述设备如何启动的防篡改DHA报告。但是，通过将该漏洞武器化，攻击者可以破坏TPM和PCR日志以获取虚假证明，从而有效地破坏设备健康证明验证过程。

芬纳说：“在Surface Pro 3上运行最新的平台固件，并启用了SHA1和SHA256 PCR，如果设备被引导到Ubuntu20.04 LTS，则SHA256 bank低PCR中根本没有测量值。”。“这是有问题的，因为这允许根据所需的任何Windows启动日志进行任意、错误的测量（例如，从Linux userland）。可以使用所附TPM中的合法[Detection Key]请求对不诚实的测量进行诚实的引用。”

在现实世界中，CVE-2021-42299可能被滥用，通过获取TCG日志—；它记录在引导过程中所做的测量—；来自攻击者想要模拟其健康状况的目标设备，然后向DHA服务发送有效的健康证明请求。

有关此次攻击和概念验证（PoC）攻击的其他技术细节可以从谷歌的安全研究存储库访问。