Dieses Dokument gibt einen technischen Überblick über einen Patch, welcher von Microsoft als Reaktion auf eine Schwachstelle in Trusted Platform Modulen (TPM) der Firma Infineon veröffentlicht wurde.

• Technical Overview of Microsoft’s Interim Measures against CVE-2017-15361 Version: 1.0

Inhalt Analysedokument

1 Einleitung
2 Technische Analyse
2.1 Erzeugung von RSA Schlüsseln
2.2 Erzeugung von EventLog Einträgen
Literaturverzeichnis
Schlüsselwörter und Abkürzungsverzeichnis

Kurzzusammenfassung der Analyseergebnisse:

Die Schwachstelle betrifft die Erzeugung von Rivest-Shamir-Adelman (RSA) Schlüsseln durch verwundbare TPMs welche die Schlüssel anfällig gegen den sog. ROCA-Angriff (Return of Coppersmith's attack) machen. Der Angriff ermöglicht es einem Angreifer, aus dem öffentlichen Teil eines Schlüsselpaars den privaten Schlüssel zu errechnen.

Obwohl es sich bei der Schwachstelle (CVE-2017-15361) um eine Schwachstelle in der Firmware handelt und nicht im Betriebssystem hat Microsoft aufgrund der Kritikalität einen Patch (KB4041691) veröffentlicht, der die Erzeugung von schwachen RSA Schlüsseln verhindert und entsprechende Log-Einträge erzeugt, falls ein verwundbares TPM auf dem System erkannt wird.

Das Update KB4041691 ändert dabei jedoch nicht die Erzeugung des Storage Root Key (SRK) welcher im Rahmen der TPM Inbetriebnahme erzeugt wird. Dieser Schlüssel ist daher bei einen anfälligen TPM auch nach der Installation des Windows-Patches weiterhin unsicher.

Zur Behebung der Schwachstelle muss daher zwingend zunächst das entsprechende Firmware-Update des Hardware-Herstellers eingespielt werden. Zusätzlich müssen danach die im TPM erzeugten Schlüssel gelöscht und das TPM neu initialisiert werden. Vor Beginn der Maßnahmen sollte eine adäquate Wiederherstellungsplanung durchgeführt werden, da Software und Daten, welche auf die im TPM gespeicherten Schlüssel angewiesen sind (z.B. eine Festplattenverschlüsselung), nach der Löschung nicht mehr funktionsfähig sind bzw. auf die durch das TPM geschützten Daten nicht mehr zugreifen können.