Une paire de failles de sécurité graves a été révélée dans le module de plate-forme sécurisée (MTP) Spécification de la bibliothèque de référence 2.0 susceptible d’entraîner la divulgation d’informations ou l’élévation des privilèges.
Une des vulnérabilités, CVE-2023-1017concerne une écriture hors limites, tandis que l’autre, CVE-2023-1018, est décrit comme une lecture hors limites. La société de cybersécurité Quarkslab est créditée d’avoir découvert et signalé les problèmes en novembre 2022.
« Ces vulnérabilités peuvent être déclenchées à partir d’applications en mode utilisateur en envoyant des commandes malveillantes à un TPM 2.0 dont le micrologiciel est basé sur une implémentation de référence TCG affectée », a déclaré le Trusted Computing Group (TCG). a dit dans un avis.
Les grands fournisseurs de technologie, les organisations utilisant des ordinateurs d’entreprise, des serveurs, des appareils IoT et des systèmes embarqués qui incluent un TPM peuvent être affectés par les failles, Quarkslab indiquéet « … pourrait affecter des milliards d’appareils. »
TPM est une solution matérielle (c’est-à-dire un crypto-processeur) conçue pour fournir des fonctions cryptographiques sécurisées et des mécanismes de sécurité physique pour résister aux efforts de falsification.
« Les fonctions TPM les plus courantes sont utilisées pour les mesures d’intégrité du système et pour la création et l’utilisation de clés », Microsoft dit dans sa documentation. « Pendant le processus de démarrage d’un système, le code de démarrage chargé (y compris le micrologiciel et les composants du système d’exploitation) peut être mesuré et enregistré dans le TPM. »
« Les mesures d’intégrité peuvent être utilisées comme preuve du démarrage d’un système et pour s’assurer qu’une clé basée sur TPM n’a été utilisée que lorsque le logiciel correct a été utilisé pour démarrer le système. »
Le consortium TCG a noté que les lacunes sont le résultat d’un manque de vérifications de longueur nécessaires, entraînant des débordements de mémoire tampon qui pourraient ouvrir la voie à la divulgation d’informations locales ou à l’escalade des privilèges.
Il est recommandé aux utilisateurs de appliquer les mises à jour publié par TCG ainsi que d’autres fournisseurs pour corriger les défauts et atténuer les risques de la chaîne d’approvisionnement.
« Les utilisateurs dans des environnements informatiques à haute assurance devraient envisager d’utiliser l’attestation à distance TPM pour détecter toute modification apportée aux appareils et s’assurer que leur TPM est inviolable », a déclaré le centre de coordination CERT (CERT/CC). a dit dans une alerte.