مايكروسوفت تحذر من ثغرة أمنية جديدة تؤثر على أجهزة (Surface Pro 3) سورفيس برو3

نشرت مايكروسوفت تحذيرًا استشاريًا جديدًا حول ثغرة أمنية في تجاوز الأمان تؤثر على أجهزة الكمبيوتر المحمولة القابلة للتحويل سورفيس برو3 والتي يمكن أن يستغلها أحد الخصوم لإدخال أجهزة ضارة داخل شبكات المؤسسة وإلحاق الهزيمة بآلية التصديق على الجهاز.

تم تتبع المشكلة كـ(CVE-2021-42299 درجة CVSS: 5.6)، وقد تم تسمية المشكلة باسم “TPM Carte Blanche” بواسطة مهندس برامج قوقل كريس فنر (Chris Fenner)، الذي يُنسب إليه الفضل في اكتشاف تقنية الهجوم والإبلاغ عنها. وحتى كتابة هذه السطور، تم اعتبار أجهزة سورفيس الأخرى، بما في ذلك سورفيس برو4 وسورفيس بوك، غير متأثرة، على الرغم من أن الأجهزة الأخرى غير التابعة لمايكروسوفت التي تستخدم BIOS  مشابه قد تكون عرضة للخطر.

ومع ذلك، تجدر الإشارة إلى أن شن هجوم يستلزم الوصول المادي إلى جهاز الضحية المستهدف، أو أن فاعلًا سيئًا قد سبق له اختراق بيانات اعتماد المستخدم الشرعي. وقالت مايكروسوفت إنها “حاولت” إبلاغ جميع البائعين المتأثرين.

وتم تقديم شهادة صحة الجهاز  (DHA) في نظام التشغيل  ويندوز10، وهي ميزة أمان مؤسسية تضمن أن أجهزة الكمبيوتر العميل لديها BIOS جدير بالثقة، ومنصة الوحدة النمطية الموثوقة (TPM)، وتمكين تكوينات برامج التمهيد مثل التشغيل المبكر لمكافحة البرامج الضارة (ELAM)، والتمهيد الآمن، و أكثر بكثير. بعبارة أخرى، تم تصميم  (DHA) لإثبات حالة التمهيد لجهاز كمبيوتر يعمل بنظام  ويندوز.

تحقق خدمة  (DHA) ذلك من خلال مراجعة سجلات تمهيد  (TPM) و (PCR) والتحقق من صحتها للجهاز لإصدار تقرير  (DHA) المقاوم للعبث الذي يصف كيفية بدء تشغيل الجهاز. ولكن من خلال تسليح هذا الخلل، يمكن للمهاجمين إتلاف سجلات  (TPM) و(PCR) للحصول على شهادات مزيفة، مما يضر بشكل فعال بالتحقق من صحة الجهاز.

قال فنر  (Fenner): “في جهاز سورفيس برو3 الذي يعمل مؤخرًا بنظام أساسي ثابت مع تمكين  (SHA1) و (SHA256 PCRs)، إذا تم تمهيد الجهاز في  (Ubuntu 20.04 LTS)، فلا توجد قياسات على الإطلاق في  (PCRs) منخفضة التكلفة للبنك  (SHA256). هذا يمثل مشكلة لأنه يسمح بإجراء قياسات عشوائية خاطئة (من Linux userland ، على سبيل المثال) تتوافق مع أي سجل تمهيد ويندوز مطلوب. يمكن طلب اقتباس  (SHA256 PCR) صادق على القياسات غير النزيهة باستخدام [مفتاح مصادقة] شرعي في  (TPM) المرفق.

في سيناريو العالم الحقيقي، يمكن إساءة استخدام  (CVE-2021-42299) لجلب شهادة مايكروسوف (DHA) مزيفة عن طريق الحصول على سجل (TCG) – الذي يسجل القياسات التي تم إجراؤها أثناء تسلسل التمهيد – من جهاز مستهدف يريد المهاجم انتحال صحته، ثم اتباعه عن طريق إرسال طلب شهادة صحية سارية المفعول إلى خدمة هيئة الصحة بدبي.

ويمكن الوصول إلى تفاصيل تقنية إضافية حول الهجوم واستغلال إثبات المفهوم (PoC) من مستودع (Google Security Research) هنا:https://thehackernews.com/2021/10/microsoft-warns-of-new-security-flaw.html