Una serie de vulnerabilidades identificadas en el módulo de plataforma de confianza (TPM) 2.0 pone en riesgo las propias claves criptográficas de los equipos, aunque existe una actualización que las corrige.
TPM es un chip criptográfico que proporciona a los ordenadores funciones de seguridad basadas en hardware para evitar manipulaciones. Su uso más común, como explica Microsoft, es para las medidas de integridad del sistema y para la creación y el uso de las claves criptográficas.
El Centro de Coordinación del Equipo de Respuesta ante Emergencias Informáticas (CERT) de la Universidad Carnegie Mellon (Estados Unidos) ha advertido de dos vulnerabilidades de desbordamiento de búfer en la biblioteca de TPM 2.0 que pueden resultar en la divulgación de información o la escalada de privilegios.
Las dos vulnerabilidades fueron identificadas primero por los investigadores Francisco Falcon e Iván Arce de Quarks Lab, y se han registrado con los códigos CVE-2023-1018 y s CVE-2023-1017.
Desde Trusted Computing Group, el grupo encargado del desarrollo de las especificaciones de TPM, las vulnerabilidades "pueden desencadenarse desde aplicaciones en modo usuario mediante el envío de comandos maliciosas a un TPM 2.0 cuyo firmware se basa en una implementación de referencia TCG afectada".
Desde el Centro de Coordinación CERT amplían que esto "permite el acceso de solo lectura a datos confidenciales o la sobreescritura de datos normalmente protegidos que solo están disponibles para el TPM", como pueden ser las claves criptográficas.
La abordar este problema de seguridad, Trusted Computing Group ya ha publicado una actualización que los fabricantes deben implementar, y de la que los usuarios tienen que estar atentos para instalar.