Microsoft a publié un nouvel avertissement concernant une vulnérabilité de contournement de sécurité affectant les ordinateurs portables convertibles Surface Pro 3 qui pourrait être exploitée par un adversaire pour introduire des appareils malveillants dans les réseaux d’entreprise et déjouer le mécanisme d’attestation d’appareil.
Suivi comme CVE-2021-42299 (score CVSS : 5,6), le problème porte le nom de code « Carte Blanche TPM » par l’ingénieur logiciel de Google Chris Fenner, qui est crédité d’avoir découvert et signalé la technique d’attaque. Au moment de la rédaction, d’autres appareils Surface, y compris le Surface Pro 4 et le Surface Book, ont été jugés non affectés, bien que d’autres machines non Microsoft utilisant un Le BIOS peut être vulnérable.
« Les appareils utilisent des registres de configuration de plate-forme (PCR) pour enregistrer des informations sur la configuration de l’appareil et du logiciel afin de s’assurer que le processus de démarrage est sécurisé », a noté le fabricant de Windows dans un bulletin. « Windows utilise ces mesures PCR pour déterminer la santé de l’appareil. Un appareil vulnérable peut se faire passer pour un appareil sain en étendant des valeurs arbitraires dans des banques de registre de configuration de plate-forme (PCR).
Cependant, il convient de noter que la réalisation d’une attaque nécessite un accès physique à l’appareil d’une victime cible, ou qu’un acteur malveillant a déjà compromis les informations d’identification d’un utilisateur légitime. Microsoft a déclaré avoir « tenté » d’informer tous les fournisseurs concernés.
Introduit dans Windows 10, Attestation d’intégrité de l’appareil (ADH) est une entreprise fonction de sécurité qui garantit que les ordinateurs clients disposent d’un BIOS fiable, d’une plate-forme de module de confiance (TPM) et de configurations logicielles de démarrage activées telles que les logiciels anti-programme malveillant à lancement précoce (ELAM), le démarrage sécurisé et bien plus encore. En d’autres termes, DHA est conçu pour attester de l’état de démarrage d’un ordinateur Windows.
Le service DHA y parvient en examinant et en validant les journaux de démarrage TPM et PCR d’un appareil afin d’émettre un rapport DHA inviolable qui décrit comment l’appareil a démarré. Mais en armant cette faille, les attaquants peuvent corrompre les journaux TPM et PCR pour acquérir de fausses attestations, compromettant ainsi le processus de validation de l’attestation d’intégrité de l’appareil.
« Sur une Surface Pro 3 exécutant un micrologiciel de plate-forme récent avec les PCR SHA1 et SHA256 activés, si l’appareil est démarré dans Ubuntu 20.04 LTS, il n’y a aucune mesure dans les PCR bas de la banque SHA256 », a déclaré Fenner. « C’est problématique car cela permet de faire des mesures arbitraires et fausses (à partir de l’espace utilisateur Linux, par exemple) correspondant à n’importe quel journal de démarrage Windows souhaité. Un devis PCR SHA256 honnête sur des mesures malhonnêtes peut être demandé à l’aide d’un [Attestation Key] dans le TPM ci-joint. »
Dans un scénario réel, CVE-2021-42299 peut être abusé pour récupérer un faux certificat Microsoft DHA en obtenant le journal TCG – qui enregistre les mesures effectuées pendant une séquence de démarrage – à partir d’un périphérique cible dont l’attaquant veut usurper l’identité, suivi en envoyant une demande d’attestation de santé valide au service DHA.
Supplémentaire détails techniques au sujet de l’attaque et d’un preuve de concept L’exploit (PoC) est accessible à partir du référentiel Security Research de Google ici.
