Vous possédez une Surface Pro 3 ? Elle est peut-être exposée à la faille CVE-2021-42299. Microsoft vient d’émettre une alerte à son sujet. Dans le même temps, le chercheur qui a découvert la vulnérabilité a publié un PoC, sous le nom « TPM Carte Blanche ».
Le TPM (module de plate-forme sécurisée) est effectivement impliqué dans cette histoire. Le risque : la manipulation de certaines des données qu’il génère. En l’occurrence, des mesures auxquelles fait notamment appel le service Windows d’attestation d’intégrité.
Ces mesures, réalisées au démarrage, sont stockées au sein du TPM, dans des emplacements mémoire appelés PCR (registres de configuration de plate-forme). Lesquels se structurent en banques, chacune associée à un algorithme de hachage.
Pour stocker une nouvelle valeur dans un PCR, la valeur existante est étendue, par concaténation : PCR[N] = HASHalg( PCR[N] || ArgumentOfExtend ).
Il existe plusieurs restrictions – notamment une obligation de réinitialisation du TPM – destinées à s’assurer que seule cette opération permette une telle modification. La documentation relative aux PCR fournit des explications. En particulier concernant la jonction avec les journaux d’événements :
Certains PCR sont utilisés comme sommes de contrôle des événements de journal. Ces derniers sont étendus dans le TPM à mesure que les événements se produisent. Par la suite, un auditeur peut valider les journaux en calculant les valeurs PCR attendues à partir du journal et en les comparant aux valeurs PCR du TPM. Dans la mesure où les 16 premiers PCR du TPM ne peuvent pas être modifiés arbitrairement, une correspondance entre une valeur PCR attendue dans cette plage et la valeur PCR du TPM réel garantit un journal non modifié.
Alors que se passe-t-il sur les Surface Pro 3 ? Le problème se pose jusqu’au BIOS 3.1.2550 (diffusé en septembre 2018). Lorsque sont activées à la fois les banques PCR SHA1 et SHA256, cette dernière n’est pas étendue. La porte ouverte à l’injection de mesures arbitraires. Aussi longtemps qu’on a soit un accès physique à la machine ciblée, soit des identifiants utilisateur.
Il n’est pas exclu que la faille soit présente sur d’autres appareils utilisant un BIOS similaire, avertit Microsoft. Mais pas sur Surface Pro 4 et Surface Book. No les devices plus récent de cette gamme, affirme le groupe américain.
Illustration principale © Skórzewiak – Adobe Stock
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…
