Microsoft a publié un nouvel avis signalant une vulnérabilité de contournement de sécurité affectant les ordinateurs portables convertibles Surface Pro 3, qui pourrait permettre aux acteurs de la menace d'introduire des dispositifs malveillants dans les environnements d'entreprise.

Répertoriée sous le nom de CVE-2021-42299 (nommée aussi TPM Carte Blanche), une exploitation réussie permet aux attaquants d’empoisonner les journaux TPM et PCR pour obtenir de fausses attestations, ce qui leur permet de compromettre le processus de validation de l'attestation de santé du dispositif.

"Les appareils utilisent les registres de configuration de la plateforme (PCR) pour enregistrer des informations sur la configuration des appareils et des logiciels afin de garantir que le processus de démarrage est sécurisé", a noté le fabricant de Windows dans un bulletin. "Windows utilise ces mesures PCR pour déterminer la santé du périphérique. Un dispositif vulnérable peut se faire passer pour un dispositif sain en étendant des valeurs arbitraires dans les banques du registre de configuration de la plate-forme (PCR)."

De l’autre côté, l'attestation de santé de l'appareil (DHA) est une fonction de sécurité d'entreprise qui garantit que les ordinateurs clients disposent d'un BIOS, d'une plateforme de modules de confiance (TPM) et de configurations logicielles de démarrage fiables, telles que les logiciels antimalware à lancement rapide (ELAM), Secure Boot et bien d'autres. En d'autres termes, le DHA est conçu pour attester de l'état de démarrage d'un ordinateur Windows.

Pour ce faire, le service DHA examine et valide les journaux de démarrage de la TPM et du PCR d'un périphérique afin d'émettre un rapport DHA inviolable décrivant le démarrage du périphérique. Mais en exploitant cette faille, les attaquants peuvent corrompre les journaux TPM et PCR pour obtenir de fausses attestations, compromettant ainsi le processus de validation de l'attestation de santé du dispositif.

Toutefois, pour réussir à exploiter le bug, les attaquants doivent avoir accès aux informations d'identification du propriétaire ou un accès physique à l'appareil.

Les chercheurs affirment que les appareils d'autres fournisseurs pourraient également être vulnérables aux attaques TPM et qu'elle a tenté d'informer tous les fournisseurs concernés du problème.

"Il est possible que d'autres appareils, y compris des appareils non-Microsoft, utilisant un BIOS similaire soient également vulnérables", a déclaré Microsoft.

Des détails techniques supplémentaires sur l'attaque sont disponibles dans le dépôt de recherche sur la sécurité de Google.