Microsoft cảnh báo về lỗ hổng bảo mật mới trên Surface Pro 3

Microsoft đã công bố một cảnh báo mới về lỗ hổng bảo mật ảnh hưởng đến máy tính xách tay Surface Pro 3 có thể bị kẻ tấn công lợi dụng để đưa các tác nhân độc hại vào mạng doanh nghiệp và đánh bại cơ chế xác thực thiết bị của doanh nghiệp.

Được theo dõi là CVE-2021-42299 (điểm CVSS: 5,6), lỗ hổng được đặt tên là “TPM Carte Blanche” bởi kỹ sư phần mềm của Google, Chris Fenner, người được cho là đã phát hiện và báo cáo kỹ thuật tấn công này. Theo bài viết công bố, các thiết bị Surface khác gồm Surface Pro 4 và Surface Book không bị ảnh hưởng, mặc dù các máy khác không phải của Microsoft sử dụng BIOS tương tự có thể bị ảnh hưởng.

"Các thiết bị sử dụng Platform Configuration Registers (PCRs) để ghi lại thông tin về cấu hình thiết bị và phần mềm nhằm đảm bảo rằng quá trình khởi động được an toàn", nhà sản xuất Windows lưu ý trong một bản tin. "Windows sử dụng các phép đo PCR này để xác định tình trạng của thiết bị. Một thiết bị dễ bị tấn công có thể giả dạng là một thiết bị khỏe bằng cách mở rộng các giá trị tùy ý vào các ngân hàng Đăng ký cấu hình nền tảng (PCR)."

Tuy nhiên, cần lưu ý rằng việc thực hiện một cuộc tấn công đòi hỏi quyền truy cập vật lý vào thiết bị của nạn nhân mục tiêu hoặc một kẻ xấu trước đó đã xâm phạm thông tin đăng nhập của người dùng hợp pháp. Microsoft cho biết họ đã "cố gắng" thông báo cho tất cả các nhà cung cấp bị ảnh hưởng.

Được giới thiệu trong Windows 10, Device Health Attestation (DHA) là một tính năng bảo mật doanh nghiệp đảm bảo máy tính khách có BIOS đáng tin cậy, Nền tảng mô-đun đáng tin cậy (TPM) và các cấu hình phần mềm khởi động được kích hoạt như phần mềm chống phần mềm độc hại khởi chạy sớm (ELAM), Khởi động an toàn và nhiều hơn nữa. Nói cách khác, DHA được thiết kế để chứng thực trạng thái khởi động của máy tính Windows.

Dịch vụ DHA đạt được điều này bằng cách xem xét và xác thực nhật ký khởi động TPM và PCR cho một thiết bị để đưa ra báo cáo DHA chống giả mạo mô tả cách thiết bị khởi động. Nhưng bằng cách vũ khí hóa lỗ hổng này, những kẻ tấn công có thể làm hỏng nhật ký TPM và PCR để có được chứng thực sai, làm ảnh hưởng hiệu quả đến quy trình xác thực Chứng nhận tình trạng thiết bị.

"Trên Surface Pro 3 đang chạy chương trình cơ sở nền tảng gần đây với SHA1 và SHA256 PCR được bật, nếu thiết bị được khởi động vào Ubuntu 20.04 LTS, không có phép đo nào trong PCR thấp của ngân hàng SHA256", Fenner nói. "Điều này có vấn đề vì điều này cho phép thực hiện các phép đo sai tùy ý (ví dụ: từ vùng người dùng Linux) tương ứng với bất kỳ nhật ký khởi động Windows nào mong muốn. TPM đính kèm. "

Trong trường hợp thực tế, CVE-2021-42299 có thể bị lạm dụng để lấy chứng chỉ Microsoft DHA giả bằng cách lấy Nhật ký TCG - ghi lại các phép đo được thực hiện trong một trình tự khởi động - từ một thiết bị mục tiêu có sức khỏe mà kẻ tấn công muốn mạo danh. bằng cách gửi yêu cầu chứng nhận sức khỏe hợp lệ đến dịch vụ DHA.

Hương – Theo TheHackerNews