Les chercheurs en cybersécurité de Quarkslab ont découvert deux vulnérabilités dans le Trusted Platform Module (TPM) 2.0, qui pourraient causer des problèmes majeurs à des « milliards » d’appareils.
TPM 2.0 est une puce que les fabricants de PC ajoutent aux cartes mères depuis la mi-2016. La technologie, comme l’explique Microsoft, est conçue pour fournir des « fonctions liées à la sécurité ». La puce permet de générer, de stocker et de limiter l’utilisation des clés cryptographiques.
De nombreux TPM, explique en outre la société, incluent des mécanismes de sécurité physiques pour les rendre inviolables.
Défaut TPM 2.0
Maintenant, les chercheurs Francisco Falcon et Ivan Arce ont découvert des vulnérabilités de lecture hors limites (CVE-2023-1017) et d’écriture hors limites (CVE-2023-1018), qui pourraient permettre aux acteurs de la menace d’élever les privilèges et de voler des données sensibles. à partir de terminaux vulnérables (s’ouvre dans un nouvel onglet). L’impact des failles peut différer d’un fournisseur à l’autre, BipOrdinateur a dit.
Le centre de coordination CERT a publié une alerte sur les failles et prétend avoir informé les fournisseurs pendant des mois, mais seule une poignée d’entités ont confirmé qu’elles étaient concernées.
« Un attaquant qui a accès à une interface de commande TPM peut envoyer des commandes conçues de manière malveillante au module et déclencher ces vulnérabilités », a averti le CERT. « Cela permet soit un accès en lecture seule aux données sensibles, soit l’écrasement des données normalement protégées qui ne sont disponibles que pour le TPM (par exemple, les clés cryptographiques). »
Les organisations qui s’inquiètent de ces failles devraient passer à l’une de ces versions corrigées :
TMP 2.0 v1.59 Errata version 1.4 ou supérieure
TMP 2.0 v1.38 Errata version 1.13 ou supérieure
TMP 2.0 v1.16 Errata version 1.6 ou supérieure
Apparemment, Lenovo est le seul grand équipementier à avoir déjà émis un avis de sécurité sur ces failles, et d’autres, espérons-le, devraient bientôt emboîter le pas.
Pour abuser de la faille, un acteur menaçant aurait besoin d’avoir un accès authentifié à un appareil. Cependant, tout logiciel malveillant déjà exécuté sur le point final aurait cette condition préalable, ont averti les chercheurs.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)