微软针对旧设备SurfacePro3中的一个新漏洞发布了安全警告设备身份验证机制将恶意设备引入企业网络。此漏洞编号为CVE-2021-42299(CVSS评分:5.6),由Google软件工程师ChrisFennerf发现,并替换为“TPMCarteBlanche”。微软在公告中指出,设备使用平台配置寄存器(PCR)来记录有关设备和软件配置的信息,以确保安全启动过程,而Windows使用PCR来确定设备健康状况。易受攻击的设备可以将任意值扩展到PCR库以伪装成健康设备。Windows10中引入的设备健康证明(DHA)是一项企业安全功能,可确保计算机具有安全的BIOS、可信平台模块(TPM)和启动软件配置,例如优先启动防病毒驱动程序(ELAM)、安全启动等。DHA通过审查和验证设备的TPM和PCR启动日志来证明计算机启动健康。但通过利用此漏洞,攻击者可以破坏TPM和PCR日志以获得虚假证明,从而有效地破坏设备健康证明验证过程。值得注意的是,利用该漏洞发起攻击需要对目标设备进行物理访问,或者目标设备的合法凭证已被提前销毁。根据ChrisFennerf的说法,攻击者可以从LinuxU盘启动,以最大限度地减少与目标设备系统所需的交互。SurfacePro3由微软于2014年6月发布,并于2016年11月停产。截至发稿,其他Surface设备,包括较新的SurfacePro4和SurfaceBook,并未受到影响。目前,微软已尝试将该漏洞通知所有受影响的供应商。
