Une paire de failles de sécurité graves a été divulguée dans la spécification de la bibliothèque de référence du module de plateforme sécurisée ( TPM ) 2.0 qui pourrait potentiellement conduire à la divulgation d’informations ou à une élévation des privilèges.
L’une des vulnérabilités, CVE-2023-1017 , concerne une écriture hors limites, tandis que l’autre, CVE-2023-1018 , est décrite comme une lecture hors limites. La société de cybersécurité Quarkslab est créditée d’avoir découvert et signalé les problèmes en novembre 2022.
« Ces vulnérabilités peuvent être déclenchées à partir d’applications en mode utilisateur en envoyant des commandes malveillantes à un TPM 2.0 dont le micrologiciel est basé sur une implémentation de référence TCG affectée », a déclaré le Trusted Computing Group (TCG) dans un avis.
Les grands fournisseurs de technologie, les organisations utilisant des ordinateurs d’entreprise, des serveurs, des appareils IoT et des systèmes embarqués qui incluent un TPM peuvent être touchés par les failles, a noté Quarkslab, ajoutant qu’elles « pourraient affecter des milliards d’appareils ».
TPM est une solution matérielle (c’est-à-dire un crypto-processeur) conçue pour fournir des fonctions cryptographiques sécurisées et des mécanismes de sécurité physique pour résister aux efforts de falsification.
« Les fonctions TPM les plus courantes sont utilisées pour les mesures d’intégrité du système et pour la création et l’utilisation de clés », indique Microsoft dans sa documentation. « Pendant le processus de démarrage d’un système, le code de démarrage chargé (y compris le micrologiciel et les composants du système d’exploitation) peut être mesuré et enregistré dans le TPM. »
« Les mesures d’intégrité peuvent être utilisées comme preuve du démarrage d’un système et pour s’assurer qu’une clé basée sur TPM n’a été utilisée que lorsque le logiciel correct a été utilisé pour démarrer le système. »
Le consortium TCG a noté que les lacunes sont le résultat d’un manque de vérifications de longueur nécessaires, entraînant des débordements de mémoire tampon qui pourraient ouvrir la voie à la divulgation d’informations locales ou à l’escalade des privilèges.
Il est recommandé aux utilisateurs d’ appliquer les mises à jour publiées par TCG ainsi que d’autres fournisseurs pour corriger les failles et atténuer les risques de la chaîne d’approvisionnement.
« Les utilisateurs d’environnements informatiques à haute assurance devraient envisager d’utiliser l’attestation à distance TPM pour détecter toute modification apportée aux appareils et s’assurer que leur TPM est inviolable », a déclaré le centre de coordination CERT (CERT/CC) dans une alerte .
