Cette nouvelle faille de sécurité TPM 2.0 pourrait causer de sérieux problèmes à des milliards d'appareils
Selon les experts, "des milliards" d'appareils pourraient être concernés par un problème de sécurité
Des chercheurs en cybersécurité de Quarkslab ont découvert deux vulnérabilités dans le module de plateforme sécurisée TPM 2.0, qui pourraient causer de gros problèmes à des "milliards" d'appareils.
TPM 2.0 est une puce que les fabricants de PC ajoutent aux cartes mères depuis mi-2016. Cette technologie, comme l'explique Microsoft, est conçue pour fournir des "fonctions liées à la sécurité". La puce permet de générer, de stocker et de limiter l'utilisation de clés cryptographiques.
De nombreuses TPM, explique encore l'entreprise, incluent des mécanismes de sécurité physique pour les rendre inviolables.
Défaut de la puce TPM 2.0
Aujourd'hui, les chercheurs Francisco Falcon et Ivan Arce ont découvert des vulnérabilités de type "out-of-bounds read" ou "lecture hors limite" (CVE-2023-1017) et "out-of-bounds write" ou "écriture hors limite" (CVE-2023-1018). Elles pourraient permettre aux acteurs de la menace d'élever leurs privilèges et de voler des données sensibles sur des terminaux vulnérables. L'impact de ces failles pourrait varier d'un fournisseur à l'autre, selon BleepingComputer.
Le centre de coordination du CERT a publié une alerte sur les failles, et affirme avoir notifié les fournisseurs depuis des mois, mais seule une poignée d'entités ont confirmé avoir été touchées.
"Un attaquant qui a accès à une interface de commande TPM peut envoyer des commandes rédigées de façon malveillante au module et déclencher ces vulnérabilités", a averti le CERT. "Cela permet soit un accès en lecture seule à des données sensibles, soit l'écrasement de données normalement protégées qui ne sont disponibles que pour la TPM (les clés cryptographiques, par exemple)."
Les organisations inquiètes de ces failles devraient passer à l'une de ces versions corrigées :
Etes-vous un expert ? Abonnez-vous à notre newsletter
Inscrivez-vous à la newsletter TechRadar Pro pour recevoir toutes les actualités, les opinions, les analyses et les astuces dont votre entreprise a besoin pour réussir !
TMP 2.0 v1.59 Errata version 1.4 ou supérieure
TMP 2.0 v1.38 Errata version 1.13 ou supérieure
TMP 2.0 v1.16 Errata version 1.6 ou supérieure.
Apparemment, Lenovo est le seul FEO (Fabricant d'Équipement d'Origine) à avoir déjà publié un avis de sécurité au sujet de ces failles, mais d'autres devraient bientôt suivre.
Pour exploiter la faille, un acteur de la menace doit avoir un accès authentifié à un appareil. Cependant, tout logiciel malveillant déjà en cours d'exécution sur le terminal aurait cette condition préalable, ont averti les chercheurs.
Via: BleepingComputer
Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.