تشكل العيوب الجديدة في مكتبة TPM 2.0 تهديدًا لمليارات من إنترنت الأشياء وأجهزة المؤسسات

تم الكشف عن زوج من العيوب الأمنية الخطيرة في مواصفات المكتبة المرجعية Trusted Platform Module ( TPM ) 2.0 والتي قد تؤدي إلى الكشف عن المعلومات أو تصعيد الامتيازات.

إحدى الثغرات الأمنية ، CVE-2023-1017 ، تتعلق بكتابة خارج الحدود ، بينما الآخر ، CVE-2023-1018 ، يوصف بأنه قراءة خارج الحدود. تم اعتماد شركة كواركسلاب للأمن السيبراني في اكتشاف المشكلات والإبلاغ عنها في نوفمبر 2022.

وقالت مجموعة الحوسبة الموثوقة (TCG) في تقرير استشاري: "يمكن تشغيل هذه الثغرات الأمنية من تطبيقات وضع المستخدم عن طريق إرسال أوامر ضارة إلى TPM 2.0 الذي تعتمد برامجه الثابتة على تطبيق مرجع TCG المتأثر" .

وأشار كواركسلاب إلى أن بائعي التكنولوجيا الكبار والمؤسسات التي تستخدم أجهزة كمبيوتر المؤسسات والخوادم وأجهزة إنترنت الأشياء والأنظمة المضمنة التي تتضمن TPM يمكن أن تتأثر بالعيوب ، مضيفة أنها "يمكن أن تؤثر على مليارات الأجهزة".

TPM هو حل قائم على الأجهزة (أي معالج تشفير) مصمم لتوفير وظائف تشفير آمنة وآليات أمان فعلية لمقاومة جهود العبث.

تقول Microsoft في وثائقها: "تُستخدم وظائف TPM الأكثر شيوعًا لقياسات تكامل النظام ولإنشاء المفاتيح واستخدامها" . "أثناء عملية تمهيد النظام ، يمكن قياس رمز التمهيد الذي تم تحميله (بما في ذلك البرامج الثابتة ومكونات نظام التشغيل) وتسجيله في TPM."

"يمكن استخدام قياسات التكامل كدليل على كيفية بدء النظام وللتأكد من استخدام المفتاح المستند إلى TPM فقط عند استخدام البرنامج الصحيح لتشغيل النظام."

لاحظ كونسورتيوم TCG أن أوجه القصور هي نتيجة لعدم وجود فحوصات الطول اللازمة ، مما أدى إلى فيضان المخزن المؤقت الذي يمكن أن يمهد الطريق للكشف عن المعلومات المحلية أو تصعيد الامتيازات.

يُنصح المستخدمون بتطبيق التحديثات الصادرة عن TCG بالإضافة إلى البائعين الآخرين لمعالجة العيوب وتخفيف مخاطر سلسلة التوريد.

قال مركز تنسيق CERT (CERT / CC) في تنبيه : "يجب على المستخدمين في بيئات الحوسبة عالية التأكيد التفكير في استخدام TPM Remote Attestation لاكتشاف أي تغييرات في الأجهزة والتأكد من أن TPM الخاصة بهم مقاومة للعبث".