Chip TPM 2.0 a rischio di attacco: un problema di sicurezza interessa miliardi di dispositivi

La maggior parte dei sistemi moderni è equipaggiato con un chip TPM 2.0. Acronimo di Trusted Platform Module, TPM è integrato direttamente sulla scheda madre oppure a livello di processore: il suo obiettivo è quello di fornire un’area sicura all’interno del dispositivo in cui archiviare e gestire informazioni crittografiche, come ad esempio chiavi di cifratura e certificati digitali.

La specifica TPM 2.0 ha di recente guadagnato notevole popolarità perché Microsoft l’ha resa un requisito indispensabile per l’installazione di Windows 11. Anche se è comunque possibile installare Windows 11 su un PC non compatibile, quindi con chip TPM assente o disabilitato, Microsoft ha deciso di “cambiare passo” e assicurarsi che i sistemi più recenti siano più efficacemente protetti da bootkit e rootkit, nonostante nella funzionalità Secure Boot permangano alcune problematiche di fondo, e che ad esempio i dati di autenticaziokne con Windows Hello siano conservati in modo sicuro.

Due ricercatori di Quarkslab, Francisco Falcon e Ivan Arce, hanno scoperto una coppia di errori di buffer overflow nelle specifiche di TPM che possono portare all’esecuzione di codice dannoso o al furto di informazioni riservate da parte di utenti e processi.

Entrambi i problemi sono documentati in questa pagina e possono essere sfruttati anche per eseguire codice arbitrario all’interno del chip TPM.
Il bollettino sulla sicurezza elaborato dal Trusted Computing Group (TCG) conferma le asserzioni dei due ricercatori.
TCG spiega inoltre che i problemi di buffer overflow riguardano la lettura o la scrittura di 2 byte dopo la fine del buffer: l’effettivo impatto dipende da ciò che è stato implementato in quella specifica posizione di memoria. Il quadro cambia completamente, per esempio, se si tratta di memoria inutilizzata o se contiene dati, specie se aggiornati di frequente.
Facendo leva sulle vulnerabilità del TPM, è possibile ottenere accesso in sola lettura a dati personali e riservati oppure attivare la sovrascrittura di informazioni che di norma sono protette e disponibili per il solo TPM (ad esempio, le chiavi crittografiche).

Sebbene i problemi a livello di TPM presuppongano l’accesso autenticato al dispositivo, è importante ricordare che un eventuale malware in esecuzione sul dispositivo soddisfa tale condizione.
TPM è uno spazio protetto che in teoria dovrebbe essere immune anche all’azione dei malware in esecuzione sul dispositivo: l’importanza pratica delle vulnerabilità appena venuta a galla non dovrebbe essere ignorata o minimizzata.

I produttori hardware sono chiamati a utilizzare le versioni più aggiornate delle specifiche TPM mentre agli utenti viene consigliato di avviare soltanto applicazioni firmate provenienti da fornitori affidabili e di applicare gli aggiornamenti del firmware non appena disponibili per i propri dispositivi.

Lenovo è una delle poche aziende che finora ha confermato, con un avviso ufficiale, l’esistenza del problema (limitatamente ai prodotti con chip Nuvoton TPM 2.0).