Google安全研究人员发现了MicrosoftSurfacePro3TPM绕过安全漏洞。10月18日,微软发布安全公告CVE-2021-42299漏洞,这是一个影响SurfacePro3笔记本的TPM(TrustedPlatformModule,可信平台模块)绕过漏洞。该漏洞由谷歌安全研究人员发现,攻击者可以利用该漏洞发起复杂的TPMCarteBlanche攻击。漏洞概述——绕过安全完整性检查SurfacePro3设备使用平台配置寄存器(PCR)来记录设备和软件配置信息,以确保安全启动过程。Windows使用这些PCR来确定设备的运行状况。易受攻击的设备可以将任意值扩展到平台配置寄存器组中,以伪装成健康设备。通过利用CVE-2021-42299漏洞,攻击者可以获得TPM和PCR日志的虚假证明,从而允许攻击者破坏设备健康证明验证过程。设备健康证明是一项Windows功能,它使用TPM来证明PC的启动状态。开发通常,健康证明系统涉及向服务发送TCG日志和PCR引用。要成功提取错误的MicrosoftDHA证书,攻击者需要知道请求的格式及其发送位置。攻击者通过空PCR访问可信设备的步骤如下:获取目标TCG日志:可从目标设备读取;将日志重播到空的PCR中,使其与目标TCG日志所描述的软件启动的设备处于相同的状态;向服务发送有效的健康证明请求。在实际攻击过程中,攻击者可以准备一个LinuxUSB启动盘,以尽量减少与目标设备的交互。PoC谷歌安全研究人员也发布了针对该漏洞的PoCexploit,PoC代码可见:https://github.com/google/security-research/tree/master/pocs/bios/tpm-carte-blanche受影响的设备微软已经确认SurfacePro3受到该漏洞的影响。但使用类似BIOS的Microsoft和非Microsoft设备都可能受到该漏洞的影响。但SurfacePro4、SurfaceBook和其他近期推出的Surface并未受到该漏洞的影响。可采取的措施要成功利用此漏洞,攻击者需要有权访问所有者的凭据或对设备进行物理访问。研究人员建议用户使用最佳安全实践对其设备实施访问控制原则,以防止对设备进行未经授权的物理访问。谷歌安全研究人员还开发了一个小工具来检查它是否受到这个漏洞的影响。下载地址可以在:https://github.com/google/security-research/blob/master/pocs/bios/tpm-carte-blanche/cmd/bugtool更多技术细节见:https:///github.com/google/security-research/blob/master/pocs/bios/tpm-carte-blanche/writeup.md本文翻译自:https://www.bleepingcomputer.com/news/microsoft/microsoft-issues-advisory-for-surface-pro-3-tpm-bypass-vulnerability/如有转载请注明原文地址。
