Resumen
Existe una vulnerabilidad en determinados conjuntos de chips del Módulo de plataforma segura (TPM). La vulnerabilidad debilita a la seguridad de las claves.
Para obtener más información sobre la vulnerabilidad, consulte ADV170012.
Más información
importante
Dado que las claves de la tarjeta inteligente virtual (VSC) se almacenan solo en el TPM, los dispositivos que usan un TPM afectado son vulnerables.
Siga estos pasos para mitigar la vulnerabilidad en TPM para la VSC, tal como se describe en el Aviso de seguridad de Microsoft Security ADV170012, cuando haya una actualización de firmware del TPM del OEM. Microsoft actualizará este documento a medida que haya mitigaciones adicionales disponibles.
Antes de instalar la actualización de firmware del TPM, obtenga las claves de BitLocker o el cifrado del dispositivo.
Es importante recuperar las claves primero.Si se produce un error durante la actualización de firmware del TPM, se necesitará la clave de recuperación para reiniciar el sistema si BitLocker no se ha suspendido o si el cifrado del dispositivo está activo.
Si el dispositivo tiene BitLocker o el cifrado del dispositivo habilitado, asegúrese de obtener la clave de recuperación. A continuación se muestra un ejemplo de cómo mostrar la clave recuperación de BitLocker y cifrado del dispositivo para un volumen único: Si hay varias particiones de disco duro, es posible que haya una clave de recuperación independiente para cada partición. Asegúrese de guardar la clave de recuperación del volumen del sistema operativo (normalmente el volumen C). Si el volumen del sistema operativo está instalado en otro volumen, cambie el parámetro según corresponda.
Ejecute el siguiente script en un símbolo del sistema con derechos de administrador:
C:\Windows\system32>manage-bde -protectors -get c:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
TPM:
ID: {36B6DEE1-7B13-4A8F-876E-04735E8D3972}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Numerical Password:
ID: {6303FEBD-E4C0-4912-A331-4689B04E431A}
Password:
588214-228690-421003-079299-589270-595331-473407-0361
Si BitLocker o el cifrado del dispositivo está habilitado para el volumen del SO, suspéndalo. A continuación se muestra un ejemplo de cómo suspender BitLocker o el cifrado del dispositivo. (Si el volumen del sistema operativo está instalado en otro volumen, cambie el parámetro según corresponda).
Ejecute el siguiente script en un símbolo del sistema con derechos de administrador:
C:\Windows\system32>manage-bde -protectors c: -disable
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Key protectors are disabled for volume C:.
Nota En Windows 8 y versiones posteriores, BitLocker y el cifrado del dispositivo se reanudan automáticamente después de un reinicio. Por lo tanto, asegúrese de suspender BitLocker y el cifrado del dispositivo inmediatamente antes de instalar la actualización de firmware del TPM. En Windows 7 y sistemas anteriores, BitLocker tiene que volver a habilitarse manualmente después de instalar la actualización de firmware.
Instalar la actualización de firmware aplicable para actualizar el TPM afectado según las instrucciones del OEM
Esta es la actualización que publica el OEM para corregir la vulnerabilidad en el TPM. Consulte el Paso 4: "Aplicar las actualizaciones de firmware aplicables" en el Aviso de seguridad de Microsoft ADV170012 para obtener información sobre cómo obtener la actualización de TPM del OEM.
Eliminar y volver a inscribir la VSC
Una vez aplicada la actualización de firmware del TPM, se deben eliminar las claves débiles. Es recomendable usar herramientas de administración proporcionadas por los partners de VSC (como Intercede) para eliminar la VSC existente y volver a inscribirla.