CVE-2021-42299 is een nieuwe kwetsbaarheid in Microsoft Surface Pro 3 laptops. De fout kan aanvallers in staat stellen om kwaadaardige apparaten binnen bedrijfsnetwerken te introduceren, het apparaatattestmechanisme in gevaar brengen. Zoals uitgelegd door Microsoft, dit mechanisme helpt de identiteit van een apparaat te bevestigen. Het wordt geconfigureerd bij een inschrijvingsitem en vertelt de inrichtingsservice welke methode moet worden gebruikt bij het verifiëren van de identiteit van een apparaat tijdens de registratie.
Verwant: Hackers maken misbruik van de ProxyShell Microsoft Exchange-fouten (CVE-2021-34473)
CVE-2021-42299: TPM Carte Blanche
De kwetsbaarheid is door Google-software-engineer Chris Fenner TPM Carte Blanche genoemd, wie heeft de fout ontdekt en gemeld?. Momenteel, er zijn geen aanwijzingen dat andere Surface-apparaten, zoals Surface Pro 4 en Surface Book, worden getroffen door de kwetsbaarheid. Echter, onderzoekers waarschuwen dat andere niet-Microsoft-apparaten met een vergelijkbaar BIOS ook aan deze aanval kunnen worden blootgesteld.
In termen van hoe de kwetsbaarheid kan worden misbruikt: “Apparaten gebruiken platformconfiguratieregisters (PCR's) om informatie over apparaat- en softwareconfiguratie vast te leggen om ervoor te zorgen dat het opstartproces veilig is. Windows gebruikt deze PCR-metingen om de apparaatstatus te bepalen. Een kwetsbaar apparaat kan zich voordoen als een gezond apparaat door willekeurige waarden uit te breiden naar het platformconfiguratieregister (PCR) banken,” volgens het officiële advies van Microsoft.
Apparaatgebruik vereist fysieke toegang, of eerdere aantasting van legitieme gebruikersreferenties op de doelcomputer. Dit maakt de kwetsbaarheid moeilijker te misbruiken, maar het is nog steeds ernstig van aard.
“Op getroffen Surface Pro 3 BIOS-versies, wanneer zowel SHA1- als SHA256 PCR-banken zijn ingeschakeld, de SHA256-bank is niet verlengd. Hierdoor kan een tegenstander op TPM gebaseerde gezondheidsverklaringen vervalsen door nepmetingen uit te breiden naar de TPM en een geldige prijsopgave te krijgen over de nepmetingen,” volgens de technische beschrijving beschikbaar op GitHub. Een proof-of-concept is ook beschikbaar.
Bij een echte aanval, het beveiligingslek kan worden misbruikt om een valse Microsoft op te halen (Apparaatstatusverklaring) certificaat door het verkrijgen van het TCG-logboek, verantwoordelijk voor het vastleggen van metingen gedaan tijdens een opstartvolgorde. Zodra dit is verkregen, de aanvaller kan een geldig gezondheidsattestverzoek naar de DHA-service sturen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: