Schwachstelle im TPM-Chip des Surface Pro 3 - manuelles Update nötig

[DrWindows]

Im Surface Pro 3 von Microsoft ist ein TPM-Chip (Trusted Platform Module) von Infineon verbaut. In diesem steckt eine Schwachstelle, die nur durch ein manuelles Update des Chips geschlossen werden kann. Unter bestimmten Umständen ist es möglich, dass ein Angreifer...

Klicke hier, um den Artikel zu lesen

 

[Stahlreck]

Mein ASUS TPM Chip den ich aufs Mainboard von meinem PC gepackt hab hatte die Schwachstelle auch, ist aber schon ewig her das ich es gemacht hab. Netterweise hat mich der Windows Defender gewarnt, dass ich ein Update durchführen sollten (echt klasse, wusste nicht mal das der sowas macht ^^).

Natürlich gabs für so nen gekauften Chip kein Update von ASUS selber...wer dieses Problem auch hat muss wohl etwas in Foren wühlen...einige User entsprechender Chips teilen die Infos wie man das Update durchführen kann. Vielleicht funktioniert ja sogar diese Methode für das SP3 für andere Chips...ist ja bei allen die gleiche FW soweit ich weiss.

 

[PeterK]

Das war mit das erste was ich auf meinem ASUS Mainboard gemacht habe da ich den TMP Chip auch eher als Kritisches Einfallstor sehe.

 

[Fr4nkS]

Hm, bei mir funktioniert diese Vorgehensweise von R. Eiberger nicht. Die Richtlinie kann nicht geändert werden, wird angezeigt (als Administrator gestartet? - JA).
Was kann ich tun?

 

[OliverL]

Das prüfe ich morgen mal. Die Warnmeldung von Defender und das TPM-Update liegen bei meinem Surface Pro 3 aber wohl an die 6 Monate zurück.
Gibt's da einen neuen Vorfall?

Ich empfehle dringend, vorher den Wiederherstellungsschlüssel von Bitlocker für C: extern zu sichern.
Und eine schnell gemachte Windows-7-Systemabbildsicherung auf eine externe USB-Platte. Dann beschränkt sich der Restore-Zeitaufwand auf wenige Minuten (USB-Stick-Boot) und irrelevant lange Wartezeit auf die Rücksicherung.
Hat man sowas nicht, bitte hinterher im Falle eines Super GAU nicht meckern...

 

[Rolf_K]

Hm..... Da habe ich mal paar Fragen …

Wie viele evtl. betroffene Nutzer lesen Fachliteratur zum Thema? Im Allgemeinen arbeiten die mit den Geräten!

Der Updateprozess ist tech. kompliziert, wie viele normale Benutzer schaffen das?

Wie viele normale Nutzer sind sich der Tragweite bewusst?

Im Übrigen gilt die Nutzung eines TPM in Sicherheitskreisen als kritisch. Es handelt sich um nicht kontrollierbare Hardware. Zumal Intels nicht dokumentierte ME darauf Zugriff hat.

Ein in diesen Kreisen diskutiertes Szenario ist, dass sich damit weltweit der Start von Computern verhindern lässt, wenn von Außen über die ME das TPM blockiert wird.

Ja, das ist seht weit gedacht, aber es ist möglich. R

 

[OliverL]

In Sicherheitskreisen ist aber auch bekannt, dass ein TPM hervorragend gegen Datendiebstahl schützt, was gerade bei mobilen Geräten unabdingbar ist.
Mein TPM habe ich vor Monaten upgedatet. Der Profi hat für solche Aufgaben seine IT bzw. seinen IT-Dienstleister. Wenn er allerdings in der Lage ist, ein Backup zu machen und des Lesen mächtig und nicht denkt, er wisse etwas besser, sondern nur strikt die Anweisungen befolgt, schafft selbst ein iOS-User das. So in meinem Kundenkreis bei seinem Surface Pro 3.

Gerade geprüft: TPM.msc zeigt bei mir nur, dass das TPM einsatzbereit sei. Es handelt sich also um die fast schon wieder vergessene recht alte Sicherheitslücke. Auch Event ID 1794 ist nicht mehr geloggt, soweit das System Event Log zurückreicht gemäß https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV170012

 

[StefanMUC]

Wenn man sich die Hinweise im MS Blog und im spezifischen Artikel für das SP3 bei MS durchliest, wird kein normaler Anwender dieses Update durchführen (sehr langer Text und sehr aufwändiger Prozess).
Die besondere Hinweise, man solle vorher ein Backup durchführen und kleinste Abweichungen im Prozess würden zu Datenverlust führen, schrecken sicherlich zusätzlich ab.

 

[Killerfrosch]

Passiert mir als 0815 User, der zwar immerhin weiß was TPM bedeutet, aber sonst nix damit am Hut hat, irgendwas, wenn ich das Update nicht mache?

Solange mir keiner meine Kommas nimmt, bin ich ja eigentlich zufrieden ;D

Datenverlust etc. kann ich mal so gar nicht gebrauchen.

 

[OliverL]

Du darfst wohl davon ausgehen, dass der PC dann immer noch deutlich sicherer als jeder PC ohne TPM-Chip und somit (fast immer) unverschlüsselte Festplatte ist. Um die Sicherheitslücke auszunutzen müsste der Datendieb wohl in Besitz deines PCs geraten oder ohnehin mittels eines Trojaners Admin-Rechte haben. In beiden Fällen hast du dann wohl viel größere Probleme.
Bei mir ist das anders: der Verlust der Hardware wäre nahezu irrelevant, Datenkompromittierung eine Katastrophe. Aber auch dazu müsste ich erst einmal Angriffsziel werden. Und dafür bin selbst ich wohl zu uninteressant
Trotzdem müsste ich den Verlust eines nicht verschlüsselten Gerätes der Datenschutzbehörde innerhalb von 71 Stunden melden, und Unmengen von Personen, deren Daten betroffen wären. Dazu zählen bekanntlich bereits Adressen oder Telefonnummern.

 

[Setter]

Irgendwie verwirrt mich der Artikel, weil auch der Link ausschließlich Chromebooks listet.

Evtl wäre der Link hilfreicher https://www.infineon.com/cms/en/product/promopages/tpm-update/?redirId=59160

 

[Rivn]

@Setter
Danke!

 

[Martin]

Bedanke mich ebenfalls, habe den Link im Artikel ergänzt

 

[Unauthorized]

Offenbar handelt es sich um dasselbe Update, das der Windows Defender bereits vor einigen Wochen angemahnt hat, oder? Zumindest wurde das SP3 von dem verlinkten Skript bereits als nicht verwundbar gemeldet, tpm.msc meldet bereits Herstellerversion 5.62.3126.2.

 

[OliverL]

Die Defender-Warnung kam schon am 12 Juni 2018, und auch der Fix. Sieht mir also nach alten Kamellen aus. Aber die verlinkte auch deutsche Anleitung ist exzellent für die, die es immer noch nicht eingespielt haben sollten in den letzten Monaten.

 

[_Sabine_]

schafft selbst ein iOS-User das

Dann kennst du zu wenige Ios-User bzw. Otto-Normalverbraucher generell.

Da würde es schon bei Schritt 1 ("Wenn ihr auf den Link klickt, wird euch das Skript angezeigt. Kopiere den gesamt Text in eine Datei, z.B. mit dem Namen Check-TPM-SurfacePro3.ps1 und speichere sie ab.") scheitern. Das ist für viele schon ein Satz mit so vielen "Fachausdrücken" und Anweisungen, die sie überhaupt nicht verstehen.

Es ist ohne Frage eine gute Anleitung für Leute, die sich damit beschäftigen können / wollen und keine Angst vor der Technik haben. Alle andern werden es leider nicht hinbekommen. Zwar gut, dass es Patches dafür gibt, aber beim Einspielen gibt es noch extrem viel Optimierungspotential.

 

[Setter]

Damit die Nutzer überhaupt scheitern können, müssen sie davon erst erfahren. Dort wo es wirklich um Sicherheit geht, sitzen zumeist Menschen die solche Dinge in Auge haben. Und selbst dort wird geschaut und abgewogen.

 

[OliverL]

Die Info gab bei mir und einem Kunden der Windows Defender, samt Link, obwohl ESET installiert ist. Nicht alle Funktionen von Defender werden durch andere Antivirensoftware deaktiviert.
Ich gebe aber Sabine recht, dass jeder das einem versierten Fachmann überlassen sollte, wenn man sich das nicht zutraut - ohne Frage.