I ricercatori di Quarkslab hanno scoperto due vulnerabilità nel Trusted Platform Module (TPM) 2.0, che potrebbero comportare gravi problemi per molti portatili e PC.
Il TPM 2.0 è un chip che i produttori di PC hanno aggiunto alle schede madri dalla metà del 2016. La tecnologia, come spiega Microsoft, è progettata per fornire "funzioni legate alla sicurezza". Il chip aiuta a generare, memorizzare e limitare l'uso delle chiavi crittografiche.
Inoltre, molti TPM includono meccanismi di sicurezza analogici per renderli resistenti alle manomissioni, spiega l’azienda.
Come rimediare?
I ricercatori Francisco Falcon e Ivan Arce hanno scoperto delle vulnerabilità in lettura (CVE-2023-1017) e in scrittura (CVE-2023-1018) che potrebbero consentire ad attori esterni di accedere ai privilegi dell’utente e rubare dati sensibili dagli endpoint vulnerabili. Secondo BleepingComputer, l'impatto delle falle potrebbe variare da fornitore a fornitore.
Il Centro di coordinamento CERT ha rilasciato un comunicato sulle vulnerabilità del TPM 2.0 e sostiene di aver avvisato i fornitori per mesi, ma solo pochi produttori hanno confermato di essere stati colpiti.
"Un utente malintenzionato che abbia accesso a un'interfaccia TPM può inviare al modulo comandi in grado di attivare queste vulnerabilità", avverte il CERT. "Ciò consente l'accesso in sola lettura a dati sensibili o la sovrascrittura di dati normalmente protetti e disponibili solo per il TPM (ad esempio, le chiavi di crittografia)".
Le aziende e organizzazioni preoccupate per queste vulnerabilità possono aggiornare a una di queste versioni:
-TMP 2.0 v1.59 Errata versione 1.4 o superiore
-TMP 2.0 v1.38 Errata versione 1.13 o superiore
-TMP 2.0 v1.16 Errata versione 1.6 o superiore
A quanto pare, Lenovo è l'unico grande produttore OEM (original equipment manufacturer) ad aver già emesso un avviso di sicurezza e si spera che altri seguano presto l'esempio.
Per sfruttare le vulnerabilità, occorre avere un accesso autenticato a un dispositivo. Tuttavia, avvertono i ricercatori, qualsiasi malware già in esecuzione sull'endpoint avrebbe questo prerequisito.
