Resumo
Existe uma vulnerabilidade de segurança em certos chipsets do Trusted Platform Module (TPM). A vulnerabilidade reduz a força da chave.
Para saber mais sobre a vulnerabilidade, acesse ADV170012.
Informações adicionais
Importante
Como as chaves de Cartão Inteligente Virtual (VSC) são armazenadas apenas no TPM, qualquer dispositivo que esteja usando um TPM afetado será vulnerável.
Siga estas etapas para mitigar a vulnerabilidade no TPM para o VSC, conforme discutido no Comunicado de Segurança da Microsoft ADV170012, quando uma atualização de firmware do TPM está disponível no seu OEM. A Microsoft atualizará este documento à medida que mitigações adicionais se tornarem disponíveis.
Recupere qualquer BitLocker ou Chave de Criptografia do Dispositivo antes de instalar a atualização de firmware do TPM.
É importante que você recupere as chaves primeiro.Se ocorrer uma falha durante a atualização do firmware do TPM, a Chave de Recuperação será necessária para reiniciar o sistema novamente se o BitLocker não estiver suspenso ou se a Criptografia do Dispositivo estiver ativa.
Se o dispositivo tiver o recurso BitLocker ou Criptografia do Dispositivo habilitado, certifique-se de resgatar a chave de recuperação. Veja a seguir um exemplo de como exibir o BitLocker e a Chave de Recuperação de Criptografia do Dispositivo para um único volume. Se houver várias partições de disco rígido, poderá haver uma Chave de Recuperação separada para cada partição. Certifique-se de salvar a Chave de Recuperação para o volume do Sistema Operacional (geralmente C). Se o volume do Sistema Operacional estiver instalado em um volume diferente, altere o parâmetro de acordo.
Execute o seguinte script em um prompt de comando que tenha direitos de administrador:
C:\Windows\system32>manage-bde -protectors -get c:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
TPM:
ID: {36B6DEE1-7B13-4A8F-876E-04735E8D3972}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Numerical Password:
ID: {6303FEBD-E4C0-4912-A331-4689B04E431A}
Password:
588214-228690-421003-079299-589270-595331-473407-0361
Se o BitLocker ou a Criptografia do Dispositivo estiver habilitado para o volume do SO, suspenda-o. O seguinte é um exemplo de como suspender o BitLocker ou a Criptografia do Dispositivo. (Se o volume do Sistema Operacional estiver instalado em um volume diferente, altere o parâmetro de acordo).
Execute o seguinte script em um prompt de comando que tenha direitos de administrador:
C:\Windows\system32>manage-bde -protectors c: -disable
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Key protectors are disabled for volume C:.
Observação No Windows 8 e versões posteriores, o BitLocker e a Criptografia do Dispositivo continuam automaticamente após uma reinicialização. Portanto, certifique-se de que o BitLocker e a Criptografia do Dispositivo sejam suspensos imediatamente antes de instalar a atualização de firmware do TPM. No Windows 7 e sistemas anteriores, o BitLocker deve ser habilitado manualmente após a instalação da atualização do firmware.
Instale a atualização de firmware aplicável para atualizar o TPM afetado de acordo com as instruções do OEM
Esta é a atualização lançada pelo seu OEM para resolver a vulnerabilidade no TPM. Consulte a etapa 4: "Aplicar atualizações de firmware aplicáveis", noComunicado de Segurança da Microsoft ADV170012para obter informações sobre como obter a atualização do TPM do seu OEM.
Excluir e reinscrever o VSC
Após a aplicação da atualização do firmware do TPM, as chaves fracas devem ser excluídas. Recomendamos que você use as ferramentas de gerenciamento fornecidas pelos parceiros do VSC (como a Interceder) para excluir o VSC existente e repetir a inscrição.
