Microsoft varuje pred novou bezpečnostnou chybou ovplyvňujúcou Surface Pro 3 Zariadenia

Spoločnosť Microsoft zverejnila nové varovanie pred chybou zabezpečenia, ktorá ovplyvňuje Surface Pro 3 konvertibilné notebooky, ktoré by mohol protivník zneužiť na zavedenie škodlivých zariadení do podnikových sietí a na porazenie mechanizmu overovania zariadení.

Sledované ako CVE-2021-42299 (skóre CVSS: 5.6), tento problém dostal kódové označenie „TPM Carte Blanche“ od softvérového inžiniera spoločnosti Google Chrisa Fennera, ktorému sa pripisuje objavenie a nahlásenie techniky útoku. V čase písania, ostatné zariadenia Surface vrátane Surface Pro 4 a Surface Book, boli považované za nedotknuté, aj keď iné stroje od iných výrobcov ako Microsoft používajúce podobný BIOS môžu byť zraniteľné.

„Zariadenia používajú registre konfigurácie platformy (PCR) na zaznamenávanie informácií o konfigurácii zariadenia a softvéru, aby sa zabezpečilo, že proces zavádzania je bezpečný,“ Windows výrobca uviedol v bulletine. “Windows používa tieto merania PCR na určenie stavu zariadenia. Zraniteľné zariadenie sa môže maskovať ako zdravé zariadenie rozšírením ľubovoľných hodnôt do bánk Platform Configuration Register (PCR).

Stojí však za zmienku, že spustenie útoku si vyžaduje fyzický prístup k zariadeniu cieľovej obete, alebo že zlý hráč už predtým kompromitoval poverenia legitímneho používateľa. Microsoft uviedol, že sa „pokúsil“ informovať všetkých dotknutých predajcov.

Predstavený v Windows 10, Device Health Attestation (DHA) je podniková bezpečnostná funkcia, ktorá zaisťuje, že klientske počítače majú povolenú dôveryhodnú konfiguráciu systému BIOS, Trusted Module Platform (TPM) a spúšťacieho softvéru, ako je napríklad včasné spustenie antimalvéru (ELAM), Secure Boot a mnohé ďalšie. Inak povedané, DHA je navrhnutý tak, aby potvrdil stav spustenia a Windows počítač.

Služba DHA to dosahuje kontrolou a overením zavádzacích protokolov TPM a PCR pre zariadenie, aby vydala správu DHA odolná voči neoprávnenej manipulácii, ktorá popisuje, ako sa zariadenie spustilo. Použitím zbraní z tejto chyby však útočníci môžu poškodiť protokoly TPM a PCR, aby získali falošné osvedčenia, čím efektívne ohrozia proces overovania zdravotného stavu zariadenia.

„Na zariadení Surface Pro 3 so spusteným najnovším firmvérom platformy s povolenými SHA1 a SHA256 PCR, ak je zariadenie spustené do Ubuntu 20.04 LTS, v banke SHA256 nie sú vôbec žiadne merania,“ povedal Fenner. „Je to problematické, pretože to umožňuje ľubovoľné, falošné merania byť vyrobený (napríklad z užívateľskej krajiny Linuxu) zodpovedajúci ľubovoľnému Windows boot log požadovaný. Úprimnú cenovú ponuku SHA256 PCR cez nečestné merania je možné vyžiadať pomocou legitímneho [Attestation Key] v priloženom TPM.”

V skutočnom scenári môže byť CVE-2021-42299 zneužitý na získanie falošného certifikátu Microsoft DHA získaním protokolu TCG – ktorý zaznamenáva merania vykonané počas spúšťacej sekvencie – z cieľového zariadenia, ktorého zdravie chce útočník zosobniť. zaslaním platnej žiadosti o zdravotné potvrdenie službe DHA.

Ďalšie technické podrobnosti o útoku a zneužití proof-of-concept (PoC) sú dostupné z úložiska Security Research spoločnosti Google tu.