Nuove falle del TPM 2.0 consentirebbero il furto di chiavi crittografiche

Una nuova falla scovata nel TPM 2.0 consentirebbe l'esecuzione di comandi malevoli e il furto di dati sensibili come password e chiavi.

Avatar di Gabriele Giumento

a cura di Gabriele Giumento

Il TPM 2.0 è l'ultima specifica Trusted Platform Module pensata per aumentare la sicurezza nei sistemi durante l'avvio con Secure Boot, nonché permettere l'archiviazione di password, chiavi crittografiche e altri dati sensibili, ma nonostante ciò, sembra che anche in questo caso non manchino delle falle che consentirebbero a dei malintenzionati di effettuare delle azioni fraudolente: le ultime vulnerabilità scoperte riguardano nello specifico il buffer overflow, che permetterebbe di accedere o sovrascrivere dati, per appropriarsi di queste informazioni importanti.

Le falle, identificate come CVE-2023-1017 (out-of-bounds read) e CVE-2023-1018 (out-of-bounds write), sono state portate alla luce dai ricercatori dei laboratori Quarkslab, Francisco Falcon e Ivan Arce, specificando da subito che i problemi potrebbero impattare miliardi di dispositivi informatici. Queste falle sono generate dal modo in cui il TPM elabora alcuni comandi, permettendo a un malintenzionato con accesso locale autenticato di sfruttarle per eseguire codice malevolo. Come riportato dal bollettino di sicurezza pubblicato da TCG (Trusted Computing Group), che sviluppa la specifica, questo potrebbe comportare il furto di informazioni e l'escalation di privilegi.

TGP specifica che i problemi che riguardano il buffer overflow sono causati dalla scrittura o lettura di 2 byte dopo la fine del buffer passato al punto d'ingresso ExecuteCommand(). L'impatto della falla varia in base a cosa c'è in quella posizione della memoria, ad esempio se sono presenti o no dei dati. La soluzione per i sistemi interessati dalle vulnerabilità è quella di passare alle seguenti versioni della specifica:

  • TMP 2.0 v1.59 Errata versione 1.4 o superiore
  • TMP 2.0 v1.38 Errata versione 1.13 o superiore
  • TMP 2.0 v1.16 Errata versione 1.6 o superiore

Allo stato attuale, Lenovo è l'unico produttore che ha emanato un avviso di sicurezza sulle falle del TPM 2.0, avvertendo proprio del fatto che la vulnerabilità CVE-2023-1017 mette a rischio i suoi sistemi che fanno uso del modulo TPM 2.0 con chip Nuvoton. Per essere sfruttata la falla richiede un accesso locale al computer, condizione che però potrebbe essere soddisfatta da un malware in esecuzione. Il consiglio è quindi quelli di limitare il più possibile l'accesso ai sistemi solo a personale fidato, facendo esclusivamente uso di software provenienti da fonti attendibili e installando gli aggiornamenti firmware non appena questi vengono rilasciati.

Leggi altri articoli