Microsoft cảnh báo về một lỗ hổng bảo mật ảnh hưởng tới các thiết bị Surface Pro 3

Microsoft đã đưa ra cảnh báo về một lỗ hổng bảo mật ảnh hưởng tới các laptop Surface Pro 3. Lỗ hổng này có thể bị kẻ xấu khai thác để đưa các thiết bị bị nhiễm mã độc vào trong hệ thống mạng của các doanh nghiệp và đánh bại cơ chế xác thực thiết bị.



Mang số hiệu CVE-2021-42299 (điểm CVSS: 5,6), lỗ hổng này được đặt tên là “ TPM Carte Blanche ” bởi kỹ sư phần mềm Google Chris Fenner, người phát hiện và báo cáo về lỗ hổng này. Theo báo cáo thì các thiết bị Surface khác bao gồm Surface Pro 4 và Surface Book không bị ảnh hưởng, tuy nhiên các máy tính hãng khác mặc dù không phải của Microsoft sử dụng cùng 1 loại BIOS vẫn có khả năng bị xâm nhập.



Nhà sản xuất của Windows cho hay: “Các thiết bị sử dụng cấu hình nền tảng ( PCRs ) để lưu trữ thông tin về thiết bị cũng như cấu hình của phần mềm, nhằm đảm bảo quá trình khởi động diễn ra an toàn. Windows sử dụng PCR để đánh giá tình trạng của thiết bị. Một thiết bị dễ bị tấn công có thể bị giả mạo thành một thiết bị khỏe mạnh bằng cách thêm các giá trị tùy ý vào các ngân hàng PCR”.



Tuy nhiên, cần lưu ý rằng để có thể thực hiện cuộc tấn công như vậy thì kẻ xấu cần phải có quyền truy cập vật lý vào thiết bị của nạn nhân hoặc một kẻ xấu khác đã đánh cắp được thông tin người dùng trước đó. Microsoft cho biết họ đã “cố gắng” thông báo cho các nhà cung cấp bị ảnh hưởng.



Được giới thiệu trong Windows 10, chức năng đánh giá sức khỏe thiết bị ( DHA ) là một tính năng bảo mật nhằm đảm bảo rằng máy tính của các khách hàng có BIOS hợp lệ, Mô-đun nền tảng tin cậy (TPM) và các cấu hình phần mềm khởi động (boot software configurations) được bật như phần mềm chống phần mềm độc hại sớm (ELAM), phần mềm khởi động an toàn (Secure Boot) và nhiều phần mềm khác. Nói cách khác, DHA được thiết kế để đánh giá tình trạng khởi động của một máy tính chạy Windows.



DHA đạt được điều này bằng cách xem xét và xác thực nhật ký khởi động của TPM và PCR, để thiết bị đưa ra một bản báo cáo chống giả mạo mô tả cách thiết bị khởi động. Tuy nhiên bằng cách vũ khí hóa lỗ hổng này, kẻ tấn công có thể làm hỏng nhật ký (logs) của PCR và TPM để được chứng thực giả, làm ảnh hưởng nghiêm trọng tới độ chính xác của quá trình đánh giá sức khỏe thiết bị.



Chuyên gia Fenner cho hay: “Một máy tính Surface pro 3 chạy chương trình nền tảng (platform firmware) gần đây với thuật toán SHA1 và SHA256 PCRs được bật, nếu thiết bị khởi động hệ điều hành Ubuntu 20.04 LTS, không hề có quá trình đánh giá nào trong ngân hàng PCRs của thuật toán SHA256. Điều này tạo ra vấn đề bởi vì nó cho phép kẻ tấn công thực hiện các đánh giá sai lệch và chỉnh sửa tùy ý (ví dụ từ một người dùng Linux) bất kỳ nhật ký khởi động Windows nào theo mong muốn. Một thuật toán SHA256 PCR thật có thể được yêu cầu để đối chiếu với đánh giá sai lệch sử dụng một chìa khóa chứng thực hợp lệ (Attestation Key) trong TPM đính kèm”.



Trong trường hợp thực tế, CVE-2021-42299 có thể bị lạm dụng để lấy một chứng chỉ Microsoft DHA giả bằng cách đánh cắp nhật ký TCG – thứ ghi lại các đánh giá được đưa ra trong quá trình khởi động của máy tính nạn nhân mà kẻ tấn công muốn giả mạo, và sau đó gửi một yêu cầu đánh giá sức khỏe hợp lệ tới DHA.



Các chi tiết về thông tin kỹ thuật về cách tấn công cũng như mã khai thác mẫu của lỗ hổng này có thể được xem trong kho lưu trữ nghiên cứu bảo mật của Google. Truy cập tại đây .



Theo Thehackernews
The post Microsoft cảnh báo về một lỗ hổng bảo mật ảnh hưởng tới các thiết bị Surface Pro 3 appeared first on SecurityDaily .