Lỗ hổng CVE-2021-42299 ảnh hưởng đến thiết bị Surface Pro 3
Cụ thể, lỗ hổng định danh CVE-2021-42299 có điểm CVSS là 5,6 được gọi là "TPM Carte Blanche" bởi kỹ sư phần mềm của Google. Các thiết bị Surface khác (bao gồm Surface Pro 4 và Surface Book) có thể không bị ảnh hưởng, nhưng các thiết bị sử dụng BIOS tương tự có thể tồn tại lỗ hổng.
Thông thường, các thiết bị sử dụng Platform Configuration Registers (PCRs) để ghi lại thông tin về cấu hình thiết bị và phần mềm nhằm đảm bảo rằng quá trình khởi động được an toàn. Hệ điều hành Windows kiểm tra PCRs để xác định tình trạng của thiết bị. Nếu tồn tại lỗ hổng, một thiết bị có thể giả mạo trạng thái bình thường bằng cách mở rộng các giá trị tùy ý trong PCRs. Microsoft cho biết họ đã cố gắng thông báo cho tất cả các nhà cung cấp bị ảnh hưởng.
Được giới thiệu trong Windows 10, Device Health Attestation (DHA) là một tính năng bảo mật doanh nghiệp đảm bảo máy tính của người dùng đều có BIOS đáng tin cậy, Trusted Module Platform (TPM) và các cấu hình phần mềm khởi động được kích hoạt như early-launch antimalware (ELAM) và các tính năng khác. Nói cách khác, DHA được thiết kế để chứng thực trạng thái khởi động của máy tính Windows.
Dịch vụ này hoạt động bằng cách xem xét và xác thực log khởi động TPM và PCR cho một thiết bị để báo cáo DHA chống giả mạo mô tả cách thiết bị khởi động. Nhưng với lỗ hổng này, tin tặc có thể làm hỏng log TPM và log PCR để có được chứng thực sai, làm ảnh hưởng đến quá trình xác thực chứng nhận tình trạng thiết bị.
Trong thực tế, CVE-2021-42299 có thể bị lạm dụng để lấy chứng chỉ Microsoft DHA giả bằng cách lấy log TCG từ một thiết bị mục tiêu mà kẻ tấn công muốn mạo danh, sau đó cách gửi yêu cầu chứng thực hợp lệ đến dịch vụ DHA.
M.H
(theo The Hacker News)