В новой статье, опубликованной исследователями безопасности из Технического университета Берлина, сказано, что основанный на встроенном ПО модуль доверенной платформы AMD (fTPM / TPM) может быть полностью скомпрометирован с помощью атаки с использованием voltage fault injection, что позволяет получить полный доступ к криптографическим данным, хранящимся внутри fTPM, в результате атаки под названием «faulTPM». В конечном счете это позволяет злоумышленнику полностью скомпрометировать любое приложение или шифрование, например BitLocker, которое полагается исключительно на безопасность на основе TPM.
Исследователи сделали это, используя готовые компоненты стоимостью примерно 200 долларов для атаки на модуль безопасности платформы AMD (PSP), присутствующий в чипах Zen 2 и Zen 3. В отчете не уточняется, уязвимы ли процессоры Zen 4. Для атаки требуется физический доступ к компьютеру в течение нескольких часов. Исследователи также поделились на GitHub кодом, использованным для атаки, и списком недорогого оборудования, используемого для нее.
Отчет особенно актуален сейчас, когда Microsoft добавила TPM в свои системные требования для Windows 11, что встретило сопротивление из-за его пагубного влияния на производительность в играх, даже когда он работает правильно. Да, требование TPM легко обойти. Тем не менее стремление Microsoft внедрить эту функцию увеличило количество приложений, полагающихся исключительно на TPM 2.0 для обеспечения безопасности, тем самым увеличив число приложений, уязвимых для нового взлома faulTPM.
Напомню, что дискретные модули TPM подключаются к материнской плате и взаимодействуют с процессором для обеспечения безопасности, но оказалось, что внешнюю шину между процессором и модулем TPM можно взломать несколькими различными способами. Таким образом, прошивка TPM, или fTPM, была создана для встраивания функций внутрь чипа, что обеспечивает безопасность класса TPM 2.0 без легко взламываемого интерфейса, доступного злоумышленникам.
Атака faulTPM сосредоточена на атаке на fTPM, что, насколько известно, раньше было невозможно. Как видно из приведенного выше изображения системы Lenovo Ideapad 5 Pro, которую исследователи использовали для проведения атаки, это непростая задача и потребует нескольких часов физического доступа к машине. Однако в случае с государствами или высшим уровнем корпоративного шпионажа это довольно легко сделать.
Здесь мы можем видеть несколько подключений к блоку питания, чипу SPI BIOS и шине SVI2 (интерфейс управления питанием), которые исследователи использовали на испытуемом Lenovo. Эти соединения используются для выполнения атаки с введением ошибки напряжения на PSP, присутствующую в процессорах Zen 2 и Zen 3, таким образом получая уникальный секрет чипа, который позволяет расшифровывать объекты, хранящиеся в TPM.
Исследователи успешно получили полный доступ к TPM и запечатанным внутри данным, что позволило им скомпрометировать шифрование BitLocker (FDE) на устройстве. Как можно было бы предположить, это привело бы к полному доступу и контролю над устройством и всеми данными, содержащимися в нем, в относительно короткие сроки.
По умолчанию BitLocker использует только TPM для хранения ключей, но пользователи могут вручную включить настройку ПИН-кода, которая позволяет пользователю назначать ПИН-код, который работает в тандеме с механизмами на основе TPM. Однако эти PIN-коды не включены по умолчанию и уязвимы для методов атаки. Простые числовые PIN-коды относительно легко взломать, а вот более строгие текстовые парольные фразы взломать сложнее.
Как уже упоминалось, эта атака также раскрывает приложения, которые используют безопасность только на основе TPM, в то время как приложения с несколькими уровнями безопасности будут более защищенными.
Исследователи утверждают, что этот вектор атаки нелегко устранить из-за введения ошибки напряжения, поэтому устранение уязвимости компанией AMD, предположительно, будет связано лишь с ее микроархитектурами ЦП следующего поколения. По словам исследователей, Intel Converged Security and Manageability Engine (CSME) предотвращает атаки такого типа.