據the hacker news的消息，微軟發布了一個針對Surface Pro 3筆記本電腦安全繞過漏洞的警告，攻擊者可利用該漏洞破壞設備認證機制，將惡意設備引入企業網絡中。

[[430389]]

這個漏洞編號為CVE-2021-42299(CVSS 評分：5.6)，由谷歌軟件工程師Chris Fennerf發現，并取代號為“ TPM Carte Blanche ”。

微軟在公告中指出，設備使用平臺配置寄存器 ( PCR ) 來記錄有關設備和軟件配置的信息，以確保啟動過程安全，Windows通過PCR來確定設備健康狀況。存在漏洞的設備可將任意值擴展到PCR庫來偽裝成健康設備。

在Windows 10系統中引入的健康設備證明(DHA)是一項企業安全功能，可確保計算機具有安全的BIOS、可信平臺模組(TPM)和啟動軟件配置，如優先啟動反病毒驅動程序(ELAM)、安全啟動等。DHA通過審查和驗證設備的TPM和PCR啟動日志來證明計算機啟動是否健康。但通過將此漏洞武器化，攻擊者可以破壞 TPM 和 PCR 日志以獲取虛假證明，從而有效地破壞設備健康證明驗證過程。

值得注意的是，利用該漏洞發起攻擊需要對目標設備進行物理訪問，或已提前破壞了目標設備的合法憑據。Chris Fennerf表示，攻擊者可通過一個Linux 啟動U 盤，以最大限度地減少與目標設備系統所需的交互。

Surface Pro 3是微軟于2014年6月發布的產品，并已于2016年11月停產，截至報道時，較新的Surface Pro 4 和 Surface Book 在內的其他 Surface 設備還未受到影響。目前微軟已嘗試將漏洞通知給所有受影響的供應商。