文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

CVE-2021-42299:Surface Pro 3 TPM绕过漏洞

2024-12-02 18:43

关注

谷歌安全研究人员发现微软Surface Pro 3 TPM绕过安全漏洞。

10月18日,微软发布关于CVE-2021-42299漏洞的安全公告,该漏洞是TPM(Trusted Platform Module,可信平台模块)绕过漏洞,影响Surface Pro 3笔记本。该漏洞是谷歌安全研究人员发现的,攻击者利用该漏洞可以发起复杂的TPM Carte Blanche攻击。

漏洞概述——绕过安全完整性检查

Surface Pro 3设备使用平台配置寄存器(Platform Configuration Registers,PCR)来记录设备和软件配置信息来确保启动过程是安全的。Windows使用这些PCR来确定设备的健康程度。

有漏洞的设备可以扩展任意值到平台配置寄存器库中来伪装成健康的设备。通过利用CVE-2021-42299漏洞,攻击者可以对TPM和PCR日志来获取错误的证明,允许攻击者来入侵设备健康证明(Device Health Attestation)验证过程。Device Health Attestation是一个Windows特征,使用TPM来证明PC的启动状态。


漏洞利用

一般来说,Health Attestation系统包括发送TCG日志和PCR引用到服务。为成功提取错误的微软的DHA证书,攻击者需要了解请求的格式以及发送的目的地。

攻击者通过空的PCR来访问信任度设备的步骤如下:

获取目标TCG日志:可以从目标设备读取;

在实际攻击过程中,攻击者可以准备一个Linux USB启动盘以尽量减少与目标设备所需的交互。

PoC

谷歌安全研究人员还发布了该漏洞的PoC漏洞利用,PoC代码参见:https://github.com/google/security-research/tree/master/pocs/bios/tpm-carte-blanche

受影响的设备

微软已经确认Surface Pro 3受到该漏洞的影响。但使用类似BIOS的微软和非微软设备都可能受到该漏洞的影响。但Surface Pro 4、Surface Book和其他最新的Surface并不受到该漏洞的影响。

如何应对

为成功利用该漏洞,攻击者需要能够访问所有者的凭证或物理访问设备。研究人员建议用户采用最佳安全实践对其设备采取访问控制原则,预防对设备的非授权物理访问。

谷歌安全研究人员还开发了一个小工具来检查是否受到该漏洞的影响,下载地址参见:https://github.com/google/security-research/blob/master/pocs/bios/tpm-carte-blanche/cmd/bugtool

更多技术细节参见:https://github.com/google/security-research/blob/master/pocs/bios/tpm-carte-blanche/writeup.md

本文翻译自:https://www.bleepingcomputer.com/news/microsoft/microsoft-issues-advisory-for-surface-pro-3-tpm-bypass-vulnerability/如若转载,请注明原文地址。

 

来源:嘶吼网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯