Vous possédez une Surface Pro 3 ? Elle est peut-être exposée à la faille CVE-2021-42299. Microsoft vient d’émettre une alerte à son sujet. Dans le même temps, le chercheur qui a découvert la vulnérabilité a publié un PoC, sous le nom « TPM Carte Blanche ».
Le TPM (module de plate-forme sécurisée) est effectivement impliqué dans cette histoire. Le risque : la manipulation de certaines des données qu’il génère. En l’occurrence, des mesures auxquelles fait notamment appel le service Windows d’attestation d’intégrité.
Ces mesures, réalisées au démarrage, sont stockées au sein du TPM, dans des emplacements mémoire appelés PCR (registres de configuration de plate-forme). Lesquels se structurent en banques, chacune associée à un algorithme de hachage.
Pour stocker une nouvelle valeur dans un PCR, la valeur existante est étendue, par concaténation : PCR[N] = HASHalg( PCR[N] || ArgumentOfExtend ).
Il existe plusieurs restrictions – notamment une obligation de réinitialisation du TPM – destinées à s’assurer que seule cette opération permette une telle modification. La documentation relative aux PCR fournit des explications. En particulier concernant la jonction avec les journaux d’événements :
Certains PCR sont utilisés comme sommes de contrôle des événements de journal. Ces derniers sont étendus dans le TPM à mesure que les événements se produisent. Par la suite, un auditeur peut valider les journaux en calculant les valeurs PCR attendues à partir du journal et en les comparant aux valeurs PCR du TPM. Dans la mesure où les 16 premiers PCR du TPM ne peuvent pas être modifiés arbitrairement, une correspondance entre une valeur PCR attendue dans cette plage et la valeur PCR du TPM réel garantit un journal non modifié.
Alors que se passe-t-il sur les Surface Pro 3 ? Le problème se pose jusqu’au BIOS 3.1.2550 (diffusé en septembre 2018). Lorsque sont activées à la fois les banques PCR SHA1 et SHA256, cette dernière n’est pas étendue. La porte ouverte à l’injection de mesures arbitraires. Aussi longtemps qu’on a soit un accès physique à la machine ciblée, soit des identifiants utilisateur.
Il n’est pas exclu que la faille soit présente sur d’autres appareils utilisant un BIOS similaire, avertit Microsoft. Mais pas sur Surface Pro 4 et Surface Book. No les devices plus récent de cette gamme, affirme le groupe américain.
Illustration principale © Skórzewiak – Adobe Stock
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…
