CVE-2021-42299 è una nuova vulnerabilità in Microsoft Surface Pro 3 computer portatili. Il difetto potrebbe consentire agli aggressori di introdurre dispositivi dannosi all'interno delle reti aziendali, compromettere il meccanismo di attestazione del dispositivo. Come spiegato da Microsoft, questo meccanismo aiuta a confermare l'identità di un dispositivo. È configurato su una voce di registrazione e indica al servizio di provisioning quale metodo utilizzare durante la verifica dell'identità di un dispositivo durante la registrazione.
Correlata: Gli hacker stanno sfruttando i difetti di ProxyShell di Microsoft Exchange (CVE-2021-34473)
CVE-2021-42299: TPM Carta Bianca
La vulnerabilità è stata chiamata TPM Carte Blanche dall'ingegnere software di Google Chris Fenner, che ha scoperto e segnalato il difetto. Attualmente, non ci sono indicazioni che altri dispositivi Surface, come Surface Pro 4 e Surface Book, sono colpiti dalla vulnerabilità. Tuttavia, i ricercatori avvertono che anche altri dispositivi non Microsoft che eseguono un BIOS simile potrebbero essere esposti a questo attacco.
In termini di come la vulnerabilità può essere sfruttata: “I dispositivi utilizzano i registri di configurazione della piattaforma (PCR) per registrare informazioni sulla configurazione del dispositivo e del software per garantire che il processo di avvio sia sicuro. Windows utilizza queste misurazioni PCR per determinare l'integrità del dispositivo. Un dispositivo vulnerabile può mascherarsi da dispositivo sano estendendo valori arbitrari nel registro di configurazione della piattaforma (PCR) banche,"secondo l'advisory ufficiale di Microsoft.
Lo sfruttamento del dispositivo richiede l'accesso fisico, o precedente compromissione delle credenziali di un utente legittimo sulla macchina di destinazione. Questo rende la vulnerabilità più difficile da sfruttare, ma è ancora grave nella sua natura.
"Su Surface Pro affected interessato 3 Versioni del BIOS, quando entrambi i banchi PCR SHA1 e SHA256 sono abilitati, la banca SHA256 non è estesa. Ciò consente a un avversario di falsificare l'attestazione sanitaria basata su TPM estendendo le misurazioni false nel TPM e ottenendo un preventivo valido sulle misurazioni false,"secondo il resoconto tecnico disponibile su GitHub. Un proof-of-concept è disponibile anche.
In un vero attacco, la vulnerabilità può essere sfruttata per recuperare un falso Microsoft (Attestato di integrità del dispositivo) certificato entrando in possesso del Registro GCC, responsabile della registrazione delle misurazioni effettuate durante una sequenza di avvio. Una volta ottenuto questo, l'attaccante può inviare una richiesta di attestazione sanitaria valida al servizio DHA.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: