La especificación Trusted Platform Module (TPM) 2.0 se ve afectada por dos vulnerabilidades de desbordamiento de búfer que podrían permitir a los atacantes acceder o sobrescribir datos confidenciales, como claves criptográficas.
TPM es una tecnología basada en hardware que proporciona a los sistemas operativos funciones criptográficas seguras a prueba de manipulaciones. Se puede utilizar para almacenar claves criptográficas, contraseñas y otros datos críticos, por lo que cualquier vulnerabilidad en su implementación es motivo de preocupación.
Si bien se requiere un TPM para algunas funciones de seguridad de Windows, como Arranque medido, Cifrado de dispositivo, Protección del sistema de Windows Defender (DRTM), Atestación de estado del dispositivo, no se requiere para otras funciones de uso más común.
Sin embargo, cuando un módulo de plataforma segura está disponible, las funciones de seguridad de Windows obtienen una seguridad mejorada para proteger la información confidencial y cifrar los datos.
La especificación TPM 2.0 ganó popularidad (y controversia) cuando Microsoft la convirtió en un requisito para ejecutar Windows 11 debido a sus medidas de seguridad de arranque requeridas y a garantizar que el reconocimiento facial de Windows Hello proporcione una autenticación confiable.
Linux también admite TPM, pero no hay requisitos para usar el módulo en el sistema operativo. Sin embargo, hay herramientas de Linux disponibles que permiten que las aplicaciones y los usuarios protejan los datos en los TPM.
Las vulnerabilidades de TPM 2.0
Las nuevas vulnerabilidades en TPM 2.0 fueron descubiertas por los investigadores de Quarkslab, Francisco Falcon e Ivan Arce, quienes dijeron que las fallas podrían afectar a miles de millones de dispositivos. Las vulnerabilidades se rastrean como CVE-2023-1017 (lectura fuera de los límites) y CVE-2023-1018 (escritura fuera de los límites).
Ambas fallas surgen de cómo la especificación procesa los parámetros para algunos comandos TPM, lo que permite que un atacante local autenticado los explote mediante el envío de comandos creados con fines maliciosos para ejecutar código dentro del TPM.
Según el boletín de seguridad de Trusted Computing Group (TCG), el desarrollador de la especificación TPM, esto podría resultar en la divulgación de información o la escalada de privilegios.
Trusted Computing Group explica que los problemas de desbordamiento del búfer se refieren a la lectura o escritura de 2 bytes después del final del búfer pasado al punto de entrada ExecuteCommand().
El impacto de esto depende de lo que los proveedores hayan implementado en esa ubicación de memoria, es decir, si es memoria sin usar o si contiene datos activos.
El Centro de Coordinación CERT ha publicado una alerta sobre las vulnerabilidades y ha estado informando a los proveedores durante meses, tratando de crear conciencia mientras mapean el impacto. Desafortunadamente, solo un puñado de entidades han confirmado que se ven afectadas.
"Un atacante que tiene acceso a una interfaz de comando TPM puede enviar comandos maliciosos al módulo y desencadenar estas vulnerabilidades", advirtió CERT .
"Esto permite el acceso de solo lectura a datos confidenciales o la sobrescritura de datos normalmente protegidos que solo están disponibles para el TPM (por ejemplo, claves criptográficas)".
La solución para los proveedores afectados es pasar a una versión fija de la especificación, que incluye uno de los siguientes:
- TMP 2.0 v1.59 Errata versión 1.4 o superior
- TMP 2.0 v1.38 Errata versión 1.13 o superior
- TMP 2.0 v1.16 Errata versión 1.6 o superior
Lenovo es el único OEM importante que ha emitido un aviso de seguridad sobre las dos fallas de TPM hasta el momento, advirtiendo que CVE-2023-1017 afecta algunos de sus sistemas que se ejecutan en chips Nuvoton TPM 2.0.
Si bien estas fallas requieren acceso local autenticado a un dispositivo, es importante recordar que el malware que se ejecuta en el dispositivo cumpliría esa condición.
TPM es un espacio altamente seguro que, en teoría, debería protegerse incluso del malware que se ejecuta en el dispositivo, por lo que la importancia práctica de estas vulnerabilidades no debe ignorarse ni minimizarse.
Se recomienda a los usuarios que limiten el acceso físico a sus dispositivos a los usuarios de confianza, solo usen aplicaciones firmadas de proveedores acreditados y apliquen actualizaciones de firmware tan pronto como estén disponibles para sus dispositivos.