Des Surface Pro sujettes à une faille TPM

TPM Carte Blanche Microsoft

Microsoft alerte sur une faille qui permet de faire passer pour sain un appareil qui ne l’est pas, en manipulant des données au niveau du TPM.

Vous possédez une Surface Pro 3 ? Elle est peut-être exposée à la faille CVE-2021-42299. Microsoft vient d’émettre une alerte à son sujet. Dans le même temps, le chercheur qui a découvert la vulnérabilité a publié un PoC, sous le nom « TPM Carte Blanche ».

Le TPM (module de plate-forme sécurisée) est effectivement impliqué dans cette histoire. Le risque : la manipulation de certaines des données qu’il génère. En l’occurrence, des mesures auxquelles fait notamment appel le service Windows d’attestation d’intégrité.

Ces mesures, réalisées au démarrage, sont stockées au sein du TPM, dans des emplacements mémoire appelés PCR (registres de configuration de plate-forme). Lesquels se structurent en banques, chacune associée à un algorithme de hachage.

Pour stocker une nouvelle valeur dans un PCR, la valeur existante est étendue, par concaténation : PCR[N] = HASHalg( PCR[N] || ArgumentOfExtend ).

Il existe plusieurs restrictions – notamment une obligation de réinitialisation du TPM – destinées à s’assurer que seule cette opération permette une telle modification. La documentation relative aux PCR fournit des explications. En particulier concernant la jonction avec les journaux d’événements :

Certains PCR sont utilisés comme sommes de contrôle des événements de journal. Ces derniers sont étendus dans le TPM à mesure que les événements se produisent. Par la suite, un auditeur peut valider les journaux en calculant les valeurs PCR attendues à partir du journal et en les comparant aux valeurs PCR du TPM. Dans la mesure où les 16 premiers PCR du TPM ne peuvent pas être modifiés arbitrairement, une correspondance entre une valeur PCR attendue dans cette plage et la valeur PCR du TPM réel garantit un journal non modifié.

Surface Pro, mais pas que ?

Alors que se passe-t-il sur les Surface Pro 3 ? Le problème se pose jusqu’au BIOS 3.1.2550 (diffusé en septembre 2018). Lorsque sont activées à la fois les banques PCR SHA1 et SHA256, cette dernière n’est pas étendue. La porte ouverte à l’injection de mesures arbitraires. Aussi longtemps qu’on a soit un accès physique à la machine ciblée, soit des identifiants utilisateur.

TPM Carte Blanche
Le PoC implique un démarrage sur Ubuntu 20.04.

Il n’est pas exclu que la faille soit présente sur d’autres appareils utilisant un BIOS similaire, avertit Microsoft. Mais pas sur Surface Pro 4 et Surface Book. No les devices plus récent de cette gamme, affirme le groupe américain.

Illustration principale © Skórzewiak – Adobe Stock