È stata segnalata una serie di gravi difetti di sicurezza nella specifica della libreria di riferimento del Trusted Platform Module (TPM) 2.0 che potrebbero portare a divulgazione di informazioni o escalation di privilegi.
Una delle vulnerabilità, CVE-2023-1017, riguarda una scrittura out-of-bounds, mentre l’altra, CVE-2023-1018, è descritta come una lettura out-of-bounds. A scoprire e segnalare i problemi a novembre 2022 è stata la società di sicurezza informatica Quarkslab.
Quali sono le problematiche del TPM 2.0, o per meglio dire, delle sue librerie?
“Queste vulnerabilità possono essere attivate da applicazioni in modalità utente inviando comandi maligni a un TPM 2.0 il cui firmware si basa su un’implementazione di riferimento TCG colpita“, ha detto il Trusted Computing Group (TCG) in un suo rapporto.
Vari colossi della tecnologia (Microsoft, Google, Apple, etc), organizzazioni che utilizzano computer aziendali, server, dispositivi IoT e sistemi embedded che includono un TPM possono essere colpiti dalle falle, ha evidenziato Quarkslab, aggiungendo che “potrebbero influenzare miliardi di dispositivi“.
TPM è una soluzione basata su hardware (ovvero un cripto-processore) progettata per fornire funzioni crittografiche sicure e meccanismi di sicurezza fisica per resistere agli sforzi di manomissione.
“Le funzioni TPM più comuni vengono utilizzate per le misurazioni dell’integrità del sistema e per la creazione e l’uso di chiavi“, afferma Microsoft nella sua documentazione. “Durante il processo di avvio di un sistema, il codice di avvio caricato (inclusi il firmware e i componenti del sistema operativo) può essere misurato e registrato nel TPM“.
La Microsoft successivamente aggiunge riguardo il TPM 2.0 (e i TPM in generale): “Le misurazioni dell’integrità possono essere utilizzate come prova di come è stato avviato un sistema e per assicurarsi che una chiave basata su TPM sia stata utilizzata solo quando il software corretto è stato utilizzato per avviare il sistema“.
Il consorzio TCG, “padre” del TPM 2.0 (e dei TPM precedenti) ha notato che le carenze sono il risultato di una mancanza di controlli di lunghezza necessari, risultando in buffer overflow che potrebbero aprire la strada a una divulgazione locale di informazioni o a una serie di privilegi.
Si consiglia agli utenti di applicare gli aggiornamenti rilasciati da TCG e da altri fornitori per affrontare le falle e mitigare i rischi nella catena di approvvigionamento.
“Gli utenti [che lavorano] in ambienti di elaborazione ad alta affidabilità dovrebbero considerare l’utilizzo della TPM Remote Attestation per rilevare eventuali modifiche ai dispositivi e assicurarsi che il loro TPM sia protetto da manomissioni“, ha detto il CERT Coordination Center (CERT/CC) in un avviso.
Un paio di considerazioni sul TPM 2.0
Il TPM (e il TPM 2.0 di conseguenza) è un componente hardware progettato per fornire funzioni crittografiche sicure e meccanismi di sicurezza fisica per resistere alle manomissioni; le vulnerabilità sono state causate dalla mancanza di controlli che dovrebbe essere necessari, risultando in buffer overflow che potrebbero aprire la strada a una divulgazione locale di informazioni o a un’escalation di privilegi.
Il consiglio dato agli utenti è di applicare gli aggiornamenti rilasciati da TCG e da altri fornitori per affrontare le falle e mitigare i rischi nella catena di approvvigionamento. Gli utenti in ambienti di elaborazione ad alta affidabilità dovrebbero considerare l’utilizzo della Attestazione remota TPM per rilevare eventuali modifiche ai dispositivi e assicurarsi che il loro TPM sia protetto da manomissioni.
In sintesi, questa notizia mette in luce l’importanza di mantenere costantemente aggiornati i sistemi e i dispositivi con cui si lavora.
Il discorso librerie TPM 2.0 può influire su Windows 11 dato che è un prerequisito?
È probabile che possa interessare anche Windows 11 dato che richiede il TPM 2.0, in quanto buona parte dei dispositivi moderni lo utilizzano per garantire la sicurezza delle funzioni crittografiche e dei meccanismi di sicurezza; tuttavia, non c’è ancora alcuna informazione ufficiale su come queste vulnerabilità potrebbero influire su Windows 11.
