{"id":258982,"date":"2021-10-31T10:36:48","date_gmt":"2021-10-31T09:36:48","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=258982"},"modified":"2022-06-30T17:49:40","modified_gmt":"2022-06-30T15:49:40","slug":"surface-pro-3-und-die-card-blanche-tpm-schwachstelle","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/10\/31\/surface-pro-3-und-die-card-blanche-tpm-schwachstelle\/","title":{"rendered":"Surface Pro 3 und die (Card Blanche) TPM-Schwachstelle"},"content":{"rendered":"

\"Sicherheit[German<\/a>]Hier ein weiterer Nachtrag zum Thema \"wir werden mit Hard- und Software immer sicherer\". K\u00fcrzlich musste Microsoft f\u00fcr sein Surface Pro 3 eine TPM-Schwachstelle (Card Blanche) einr\u00e4umen und hat eine entsprechende Sicherheitsbenachrichtigung rund geschickt. Zudem ist seit einem Jahr eine Schwachstelle im TPM-Chip des Surface Pro 3 bekannt, f\u00fcr die ein Update verf\u00fcgbar ist. Ich fasse da mal einige Informationen zusammen.<\/p>\n

<\/p>\n

Erste Hinweise auf eine TPM-Schwachstelle<\/h2>\n

\"\"Ich habe das Thema TPM-Schwachstelle im Surface Pro 3 gleich auf zwei Wegen zugespielt bekommen. Einmal hat Microsoft diverse Sicherheitshinweise per Mail verteilt. Hier die Revision vom 19.10.2021:<\/p>\n

* CVE-2021-42299
\n– CVE-2021-42299<\/a> | Microsoft Surface Pro 3 Security Feature Bypass Vulnerability
\n– Version: 1.1
\n– Reason for Revision: Corrected the CVE release date to October 18, 2021.
\n– Originally posted: October 18, 2021
\n– Updated: October 19, 2021
\n– Aggregate CVE Severity Rating: Important<\/p>\n

Dann gab es noch den Kommentar von P. Feifenbl\u00e4ser im Diskussionsbereich dieses Blogs, der das Thema ansprach. Ich ziehe es mal heraus, da die Beitr\u00e4ge im Diskussionsbereich zyklisch gel\u00f6scht werden.<\/p>\n

Bedeutet dieser \"TPM Carte Blanche\" Beitrag zwischen den Zeilen, ohne weiter auf die dort genannte Sicherheitsl\u00fccke einzugehen, dass mit TPM der Rechner jedes Booten an Microsoft meldet bzw. nachfragt, ob der das darf?<\/p>\n

Oder habe ich die Rolle dieses \"Health Attestation Services\" falsch verstanden?<\/p><\/blockquote>\n

Die Schwachstelle CVE-2021-42299<\/h2>\n

Das TPM-Modul des Surface Pro 3 l\u00e4sst sich laut Microsoft (CVE-2021-42299<\/a>) \u00fcber eine BIOS-Schwachstelle umgehen. Modelle wie das Surface Pro 4, Surface Book und neuere Surface-Ger\u00e4te sind nicht anf\u00e4llig f\u00fcr diese Schwachstelle. Es ist jedoch m\u00f6glich, dass auch andere Ger\u00e4te, einschlie\u00dflich Nicht-Microsoft-Ger\u00e4te, die ein \u00e4hnliches BIOS verwenden, anf\u00e4llig sind.<\/p>\n

Ger\u00e4te wie die Surfaces verwenden Plattformkonfigurationsregister (Platform Configuration Registers, PCRs), um Informationen \u00fcber die Ger\u00e4te- und Softwarekonfiguration aufzuzeichnen. Das soll sicherstellen, dass der Startvorgang sicher ist. Windows verwendet diese PCR-Messungen, um den Zustand des Ger\u00e4ts zu bestimmen.<\/p>\n

Die Schwachstelle erm\u00f6glicht es aber, das Angreifer beliebige Werte in die PCR-Register(Platform Configuration Register) einf\u00fcgen und ein so kompromittiertes Ger\u00e4t aus sicher ausweisen.<\/p>\n

Der Schaden h\u00e4lt sich allerdings in Grenzen, da der Angriff den physischen Zugriff auf das Ger\u00e4t eines Opfers erfordert. Da die Ger\u00e4te \u00fcblicherweise durch ein Anmelde-Passwort vor Fremdzugriffen gesch\u00fctzt sind, muss diese H\u00fcrde vorher \u00fcberwunden werden.<\/p>\n

Details zur Schwachstelle<\/h2>\n

In Windows gibt es eine Funktion Device Health Attestation. Diese verwendet ein Trusted Platform Module (TPM) verwendet, um den (sicheren) Startzustand eines PCs zu bescheinigen. Dies geschieht durch die Nutzung von Messungen, die normalerweise w\u00e4hrend des Bootvorgangs im TPM vorgenommen werden, und die Bescheinigung dieser Messungen mit einem Bescheinigungsschl\u00fcssel.<\/p>\n

Chris Fenner von Google hat diese Schwachstelle CVE-2021-42299 entdeckt und beschreibt die Details im GitHub-Beitrag CVE-2021-42299: TPM Carte Blanche<\/a>. Beim Surface Pro 3 gibt es die Schwachstelle bei aktivierten SHA1- und SHA256-PCRs auf dem TPM in der BIOS-Version 3.11.2550 und fr\u00fcher. Das Problem: Es werden nur die SHA1-PCRs von der Firmware erweitert. Das bedeutet, dass ein Angreifer ein nicht sicheres bzw. kompromittiertes Betriebssystem booten k\u00f6nnte, indem er die PCRs mit falschen Messwerten versieht, um falsche Best\u00e4tigungen zum geladenen Betriebssystem zu erhalten.<\/p>\n

Fenner beschreibt die Details in seinem GitHub-Beitrag, aber man kann es kurz machen: \u00dcber diese Schwachstelle l\u00e4sst sich ein ach so sicherer PC mit TPM, der angeblich nur zugelassene Betriebssysteme booten kann, austricksen \u2013 und ein Angreifer kann ein beliebiges Betriebssystem booten.<\/p>\n

TPM-Schwachstelle CVE-2017-15361<\/h2>\n

Vor einem Jahr wurde zudem die Schwachstelle CVE-2017-15361<\/a> im TPM-Chip des Herstellers Infineon entdeckt. Inzwischen gibt es wohl ein Update f\u00fcr das TPM des Surface Pro 3, wie ich vor wenigen Tagen bei Martin Geu\u00df in diesem Artikel<\/a> gelesen habe. Ralf Eiberger hat in diesem Beitrag<\/a> den Ansatz beschrieben, um das Update einzuspielen.<\/p>\n

Es ist doch immer wieder erfrischend zu lesen, wie sicher das Ganze inzwischen doch geworden ist und in welch glorreiche Zukunft Microsoft uns dann mit Windows 11 und den gestiegenen Hardwareanforderungen wie TPM 2.0 etc. f\u00fchren will.<\/p>\n","protected":false},"excerpt":{"rendered":"

[German]Hier ein weiterer Nachtrag zum Thema \"wir werden mit Hard- und Software immer sicherer\". K\u00fcrzlich musste Microsoft f\u00fcr sein Surface Pro 3 eine TPM-Schwachstelle (Card Blanche) einr\u00e4umen und hat eine entsprechende Sicherheitsbenachrichtigung rund geschickt. Zudem ist seit einem Jahr eine … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426,301],"tags":[4328,4356,1188,3288],"class_list":["post-258982","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","category-windows","tag-sicherheit","tag-surface","tag-tpm","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/258982","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=258982"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/258982\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=258982"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=258982"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=258982"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}