Schwachstelle im TPM-Chip des Surface Pro 3 - manuelles Update nötig

Schwachstelle im TPM-Chip des Surface Pro 3 - manuelles Update nötig

Im Surface Pro 3 von Microsoft ist ein TPM-Chip (Trusted Platform Module) von Infineon verbaut. In diesem steckt eine Schwachstelle, die nur durch ein manuelles Update des Chips geschlossen werden kann. Unter bestimmten Umständen ist es möglich, dass ein Angreifer diese Schwachstelle ausnutzen kann, um verschiedene Kryptografie-Funktionen wie Bitlocker, PGP, YubiKey oder die Datenträgerverschlüsselung in Chrome OS anzugreifen.

Anhand des letzten Punktes seht ihr schon: Nicht nur das Surface Pro 3 von Microsoft ist von dem Problem betroffen, sondern alle Geräte, in denen der entsprechende TPM-Chip von Infineon verbaut wurde. Auf dieser Seite und dieser Seite könnt ihr nachsehen, welche Geräte das sind – sollte eures dabei sein, müsst ihr auf den Support-Seiten des Herstellers nachsehen, ob es ein passendes Update gibt.

Für das Surface Pro 3 ist ein solches Update verfügbar, es kann aber nicht wie sonst üblich wie Windows Update installiert werden, der Nutzer muss also selbst aktiv werden. Der Update-Prozess ist aufwändig und man benötigt etwa 20 Minuten Zeit. Surface-Experte Ralf Eiberger hat auf seinem Blog eine detaillierte Anleitung veröffentlicht, die Schritt für Schritt durch das Update führt.

Über den Autor
Martin Geuß
  • Martin Geuß auf Facebook
  • Martin Geuß auf Twitter
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als elf Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.



Kommentare
  1. Mein ASUS TPM Chip den ich aufs Mainboard von meinem PC gepackt hab hatte die Schwachstelle auch, ist aber schon ewig her das ich es gemacht hab. Netterweise hat mich der Windows Defender gewarnt, dass ich ein Update durchführen sollten (echt klasse, wusste nicht mal das der sowas macht ^^).
    Natürlich gabs für so nen gekauften Chip kein Update von ASUS selber...wer dieses Problem auch hat muss wohl etwas in Foren wühlen...einige User entsprechender Chips teilen die Infos wie man das Update durchführen kann. Vielleicht funktioniert ja sogar diese Methode für das SP3 für andere Chips...ist ja bei allen die gleiche FW soweit ich weiss.
    Das war mit das erste was ich auf meinem ASUS Mainboard gemacht habe da ich den TMP Chip auch eher als Kritisches Einfallstor sehe.
    Hm, bei mir funktioniert diese Vorgehensweise von R. Eiberger nicht. Die Richtlinie kann nicht geändert werden, wird angezeigt (als Administrator gestartet? - JA).
    Was kann ich tun?
    Das prüfe ich morgen mal. Die Warnmeldung von Defender und das TPM-Update liegen bei meinem Surface Pro 3 aber wohl an die 6 Monate zurück.
    Gibt's da einen neuen Vorfall?
    Ich empfehle dringend, vorher den Wiederherstellungsschlüssel von Bitlocker für C: extern zu sichern.
    Und eine schnell gemachte Windows-7-Systemabbildsicherung auf eine externe USB-Platte. Dann beschränkt sich der Restore-Zeitaufwand auf wenige Minuten (USB-Stick-Boot) und irrelevant lange Wartezeit auf die Rücksicherung.
    Hat man sowas nicht, bitte hinterher im Falle eines Super GAU nicht meckern...
    Hm..... Da habe ich mal paar Fragen …
    Wie viele evtl. betroffene Nutzer lesen Fachliteratur zum Thema? Im Allgemeinen arbeiten die mit den Geräten!
    Der Updateprozess ist tech. kompliziert, wie viele normale Benutzer schaffen das?
    Wie viele normale Nutzer sind sich der Tragweite bewusst?
    Im Übrigen gilt die Nutzung eines TPM in Sicherheitskreisen als kritisch. Es handelt sich um nicht kontrollierbare Hardware. Zumal Intels nicht dokumentierte ME darauf Zugriff hat.
    Ein in diesen Kreisen diskutiertes Szenario ist, dass sich damit weltweit der Start von Computern verhindern lässt, wenn von Außen über die ME das TPM blockiert wird.
    Ja, das ist seht weit gedacht, aber es ist möglich. R
    In Sicherheitskreisen ist aber auch bekannt, dass ein TPM hervorragend gegen Datendiebstahl schützt, was gerade bei mobilen Geräten unabdingbar ist.
    Mein TPM habe ich vor Monaten upgedatet. Der Profi hat für solche Aufgaben seine IT bzw. seinen IT-Dienstleister. Wenn er allerdings in der Lage ist, ein Backup zu machen und des Lesen mächtig und nicht denkt, er wisse etwas besser, sondern nur strikt die Anweisungen befolgt, schafft selbst ein iOS-User das. So in meinem Kundenkreis bei seinem Surface Pro 3.
    Gerade geprüft: TPM.msc zeigt bei mir nur, dass das TPM einsatzbereit sei. Es handelt sich also um die fast schon wieder vergessene recht alte Sicherheitslücke. Auch Event ID 1794 ist nicht mehr geloggt, soweit das System Event Log zurückreicht gemäß https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV170012
    Wenn man sich die Hinweise im MS Blog und im spezifischen Artikel für das SP3 bei MS durchliest, wird kein normaler Anwender dieses Update durchführen (sehr langer Text und sehr aufwändiger Prozess).
    Die besondere Hinweise, man solle vorher ein Backup durchführen und kleinste Abweichungen im Prozess würden zu Datenverlust führen, schrecken sicherlich zusätzlich ab.
    Passiert mir als 0815 User, der zwar immerhin weiß was TPM bedeutet, aber sonst nix damit am Hut hat, irgendwas, wenn ich das Update nicht mache?
    Solange mir keiner meine Kommas nimmt, bin ich ja eigentlich zufrieden ;D
    Datenverlust etc. kann ich mal so gar nicht gebrauchen.
    Du darfst wohl davon ausgehen, dass der PC dann immer noch deutlich sicherer als jeder PC ohne TPM-Chip und somit (fast immer) unverschlüsselte Festplatte ist. Um die Sicherheitslücke auszunutzen müsste der Datendieb wohl in Besitz deines PCs geraten oder ohnehin mittels eines Trojaners Admin-Rechte haben. In beiden Fällen hast du dann wohl viel größere Probleme.
    Bei mir ist das anders: der Verlust der Hardware wäre nahezu irrelevant, Datenkompromittierung eine Katastrophe. Aber auch dazu müsste ich erst einmal Angriffsziel werden. Und dafür bin selbst ich wohl zu uninteressant :-)
    Trotzdem müsste ich den Verlust eines nicht verschlüsselten Gerätes der Datenschutzbehörde innerhalb von 71 Stunden melden, und Unmengen von Personen, deren Daten betroffen wären. Dazu zählen bekanntlich bereits Adressen oder Telefonnummern.
    Offenbar handelt es sich um dasselbe Update, das der Windows Defender bereits vor einigen Wochen angemahnt hat, oder? Zumindest wurde das SP3 von dem verlinkten Skript bereits als nicht verwundbar gemeldet, tpm.msc meldet bereits Herstellerversion 5.62.3126.2.
    Die Defender-Warnung kam schon am 12 Juni 2018, und auch der Fix. Sieht mir also nach alten Kamellen aus. Aber die verlinkte auch deutsche Anleitung ist exzellent für die, die es immer noch nicht eingespielt haben sollten in den letzten Monaten.
    schafft selbst ein iOS-User das
    Dann kennst du zu wenige Ios-User bzw. Otto-Normalverbraucher generell.
    Da würde es schon bei Schritt 1 ("Wenn ihr auf den Link klickt, wird euch das Skript angezeigt. Kopiere den gesamt Text in eine Datei, z.B. mit dem Namen Check-TPM-SurfacePro3.ps1 und speichere sie ab.") scheitern. Das ist für viele schon ein Satz mit so vielen "Fachausdrücken" und Anweisungen, die sie überhaupt nicht verstehen.
    Es ist ohne Frage eine gute Anleitung für Leute, die sich damit beschäftigen können / wollen und keine Angst vor der Technik haben. Alle andern werden es leider nicht hinbekommen. Zwar gut, dass es Patches dafür gibt, aber beim Einspielen gibt es noch extrem viel Optimierungspotential.
    Damit die Nutzer überhaupt scheitern können, müssen sie davon erst erfahren. Dort wo es wirklich um Sicherheit geht, sitzen zumeist Menschen die solche Dinge in Auge haben. Und selbst dort wird geschaut und abgewogen.
    Die Info gab bei mir und einem Kunden der Windows Defender, samt Link, obwohl ESET installiert ist. Nicht alle Funktionen von Defender werden durch andere Antivirensoftware deaktiviert.
    Ich gebe aber Sabine recht, dass jeder das einem versierten Fachmann überlassen sollte, wenn man sich das nicht zutraut - ohne Frage.
Nach oben