Microsoft публикува ново предупреждение за уязвимост на байпас на защитата, засягаща Surface Pro 3 конвертируеми лаптопи, което може да бъде използвано от нападател за въвеждане на злонамерени устройства в корпоративните мрежи и разбиване на механизма за атестиране на устройства.
Проследен като CVE-2021-42299, проблемът е с кодово име „TPM Carte Blanche“. Към момента, други устройства на Surface включително Surface Pro 4 и Surface Book, се считат за незасегнати, въпреки че други машини на Microsoft, които използват подобен BIOS, могат да бъдат уязвими.
Устройствата използват регистрите за конфигуриране на платформа (PCR), за да записват информация за конфигурацията на устройството и софтуера, за да гарантират, че процесът на зареждане е защитен, отбелязва производителят на Windows.
Струва си обаче да се отбележи, че за да се извърши атака е необходим физически достъп до устройството на жертвата или че нападател е компрометирал преди това идентификационните данни на легитимен потребител. От Microsoft заявиха, че са се „опитали“ да уведомят всички засегнати доставчици.
Въведената в Windows 10, Device Health Attestation (DHA) функция за защита на предприятието, гарантира, че клиентските компютри имат надежден BIOS, платформа за доверени модули (TPM) и активирани софтуерни конфигурации за зареждане, като например антималуер за ранно стартиране (ELAM), Secure Boot и други.
На Surface Pro 3, работещ с най-новия фърмуер на платформа с активирани PCR на SHA1 и SHA256 и устройство стартиращо с Ubuntu 20.04 LTS, изобщо няма измервания в ниските PCR на SHA256. Това е проблем, тъй като позволява да се извършват произволни, фалшиви измервания (например от потребителска страна на Linux), съответстващи на всеки желан регистър за зареждане на Windows.
В реален сценарий CVE-2021-42299 може да бъде злоупотребен за извличане на фалшив Microsoft DHA сертификат чрез получаване на TCG Log, който записва измервания направени по време на последователност на зареждане от целево устройство.
За повече информация по темата може да прочетете на следния интернет адрес: