Marcus1337
VIP Members
-
01/04/2021
-
62
-
76 bài viết
Phát hiện CVE mới ảnh hưởng đến thiết bị Surface Pro 3
Microsoft vừa công bố cảnh báo về lỗ hổng an ninh ảnh hưởng đến máy tính xách tay Surface Pro 3 có thể bị hacker lợi dụng để đưa các thiết bị độc hại vào mạng doanh nghiệp và qua các cơ chế xác thực thiết bị.
Lỗ hổng có mã CVE-2021-42299 (điểm CVSS: 5,6) được đặt tên mã là "TPM Carte Blanche" bởi kỹ sư phần mềm của Google. Theo bài viết, các thiết bị Surface khác, bao gồm Surface Pro 4 và Surface Book có thể không bị ảnh hưởng bởi lỗ hổng. Tuy nhiên các máy khác không phải của Microsoft nhưng sử dụng BIOS tương tự có thể dính lỗ hổng này.
Các thiết bị sử dụng Platform Configuration Registers (PCRs) để ghi lại thông tin về cấu hình thiết bị và phần mềm nhằm đảm bảo rằng quá trình khởi động được an toàn. Windows kiểm tra PCRs này để xác định tình trạng của thiết bị. Một thiết bị có lỗ hổng có thể giả dạng là một thiết bị khỏe mạnh bằng cách mở rộng các giá trị tùy ý trong Platform Configuration Register (PCRs).
Tuy nhiên, cần lưu ý rằng việc thực hiện một cuộc tấn công đòi hỏi quyền truy cập vật lý vào thiết bị của nạn nhân mục tiêu hoặc tấn công trước đó đã xâm nhập thành công vào máy tính nạn nhân. Microsoft cho biết họ đã "cố gắng" thông báo cho tất cả các nhà cung cấp bị ảnh hưởng.
Được giới thiệu trong Windows 10, Device Health Attestation (DHA) là một tính năng bảo mật doanh nghiệp đảm bảo máy tính khách của người dùng đều có BIOS đáng tin cậy, Trusted Module Platform (TPM) và các cấu hình phần mềm khởi động được kích hoạt như early-launch antimalware (ELAM) và các tính năng khác. Nói cách khác, DHA được thiết kế để chứng thực trạng thái khởi động của máy tính Windows.
Dịch vụ DHA chứng thực được trạng thái khởi động của máy tính Windows bằng cách xem xét và xác thực log khởi động TPM và PCR cho một thiết bị để đưa ra báo cáo DHA chống giả mạo mô tả cách thiết bị khởi động. Nhưng với lỗ hổng này, những kẻ tấn công có thể làm hỏng log TPM và log PCR để có được chứng thực sai, làm ảnh hưởng đến quá trình xác thực chứng nhận tình trạng thiết bị.
Trong thực tế, CVE-2021-42299 có thể bị lạm dụng để lấy chứng chỉ Microsoft DHA giả bằng cách lấy log TCG từ một thiết bị mục tiêu mà kẻ tấn công muốn mạo danh, sau đó cách gửi yêu cầu chứng thực hợp lệ đến dịch vụ DHA.
Bạn có thể đọc chi tiết bài viết kỹ thuật ở đây và PoC khai thác tại đây.
Lỗ hổng có mã CVE-2021-42299 (điểm CVSS: 5,6) được đặt tên mã là "TPM Carte Blanche" bởi kỹ sư phần mềm của Google. Theo bài viết, các thiết bị Surface khác, bao gồm Surface Pro 4 và Surface Book có thể không bị ảnh hưởng bởi lỗ hổng. Tuy nhiên các máy khác không phải của Microsoft nhưng sử dụng BIOS tương tự có thể dính lỗ hổng này.
Các thiết bị sử dụng Platform Configuration Registers (PCRs) để ghi lại thông tin về cấu hình thiết bị và phần mềm nhằm đảm bảo rằng quá trình khởi động được an toàn. Windows kiểm tra PCRs này để xác định tình trạng của thiết bị. Một thiết bị có lỗ hổng có thể giả dạng là một thiết bị khỏe mạnh bằng cách mở rộng các giá trị tùy ý trong Platform Configuration Register (PCRs).
Tuy nhiên, cần lưu ý rằng việc thực hiện một cuộc tấn công đòi hỏi quyền truy cập vật lý vào thiết bị của nạn nhân mục tiêu hoặc tấn công trước đó đã xâm nhập thành công vào máy tính nạn nhân. Microsoft cho biết họ đã "cố gắng" thông báo cho tất cả các nhà cung cấp bị ảnh hưởng.
Được giới thiệu trong Windows 10, Device Health Attestation (DHA) là một tính năng bảo mật doanh nghiệp đảm bảo máy tính khách của người dùng đều có BIOS đáng tin cậy, Trusted Module Platform (TPM) và các cấu hình phần mềm khởi động được kích hoạt như early-launch antimalware (ELAM) và các tính năng khác. Nói cách khác, DHA được thiết kế để chứng thực trạng thái khởi động của máy tính Windows.
Dịch vụ DHA chứng thực được trạng thái khởi động của máy tính Windows bằng cách xem xét và xác thực log khởi động TPM và PCR cho một thiết bị để đưa ra báo cáo DHA chống giả mạo mô tả cách thiết bị khởi động. Nhưng với lỗ hổng này, những kẻ tấn công có thể làm hỏng log TPM và log PCR để có được chứng thực sai, làm ảnh hưởng đến quá trình xác thực chứng nhận tình trạng thiết bị.
Trong thực tế, CVE-2021-42299 có thể bị lạm dụng để lấy chứng chỉ Microsoft DHA giả bằng cách lấy log TCG từ một thiết bị mục tiêu mà kẻ tấn công muốn mạo danh, sau đó cách gửi yêu cầu chứng thực hợp lệ đến dịch vụ DHA.
Bạn có thể đọc chi tiết bài viết kỹ thuật ở đây và PoC khai thác tại đây.
Nguồn: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: