微软发布关于SurfacePro3TPM绕过漏洞的安全公告

 聚焦源代码安全&＃xff0c;网罗国内外最新资讯&＃xff01;

编译&＃xff1a;代码卫士

微软发布了关于安全特性绕过漏洞 (CVE-2021-42299) 的安全公告。该漏洞影响 Surface Pro 3 平板电脑&＃xff0c;可使威胁行动者在企业环境中引入恶意设备。

该漏洞可被用于高度复杂的攻击即被称为“TPM Carte Blanche&＃xff08;可信平台模块全权&＃xff09;”的攻击中。谷歌研究员发现了该漏洞并公布详情。成功滥用该漏洞需要访问设备机主的凭据或者物理访问设备。

绕过安全完整性检查

“设备健康认证 (Device Health Attestation)” 是一款云和本地服务&＃xff0c;用于验证端点的TPM 和 PCR 日志并通知”移动设备管理 (Mobile Device Management (MDM))” 解决方案关于 Secure Boot、BitLocker和 Early Launch Antimalware (ELAM) 是否启用、Trusted Boot 是否正确签名等等。

攻击者可通过利用 CVE-2021-42299来投毒 TPM 和 PCR 日志以获取错误的证明&＃xff0c;从而导致“设备健康认证“的验证流程被攻陷。

微软解释称&＃xff0c;“设备使用平台配置注册表 (PCRs) 来记录关于设备和软件的配置信息&＃xff0c;确保引导进程是安全的。Windows 使用这些 PCR 衡量方式判断设备的健康状况。”

发现该漏洞的谷歌软件工程师 Chris Fenner 表示&＃xff0c;“易受攻击的设备可通过将任意值扩展到 PCR 库的方式伪装成健康的设备。攻击者可准备可引导的 Linux USB 将目标设备所需交互最小化。“

其它供应商设备也易受攻击

Fenner 还公布了 PoC 利用代码&＃xff0c;表明该缺陷如何可遭利用。

微软证实了 Fenner 的发现称&＃xff0c;Surface Pro 3 受 TPM Carte Blanche 攻击。新版本如 Surface Pro 4 和 Surface Book 易受影响。

虽然 Surface Pro 3 在2014年6月发布并在2016年11月暂停使用&＃xff0c;但微软表示&＃xff0c;其它供应商设备也可易受“可信平台全权”攻击&＃xff0c;并指出正在尝试联系所有受影响的供应商。

微软指出&＃xff0c;“由于其它非微软生产的设备使用了类似的BIOS&＃xff0c;因此很可能其它设备也易受攻击。“

具体漏洞分析详情可见&＃xff1a;

https://github.com/google/security-research/blob/master/pocs/bios/tpm-carte-blanche/writeup.md

推荐阅读

开源框架 Drupal 修复多个访问绕过和 CSRF 漏洞

速修复&＃xff01;Netgear交换机曝3个严重的认证绕过漏洞

ProxyToken&＃xff1a;微软 Exchange 服务器中的认证绕过新漏洞&＃xff0c;可窃取用户邮件

3年后准确率仍达97%&＃xff1a;利用谷歌语音转文本 API 绕过reCAPTCHA

安全研究员俩娃徒手绕过 Linux Mint 屏保和密码&＃xff0c;并成功访问桌面

原文链接

https://www.bleepingcomputer.com/news/microsoft/microsoft-issues-advisory-for-surface-pro-3-tpm-bypass-vulnerability/

题图&＃xff1a;Pixabay License

本文由奇安信编译&＃xff0c;不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错&＃xff0c;就点个 “在看” 或 "赞” 吧~