Một bài báo mới được phát hành bởi các nhà nghiên cứu bảo mật tại Đại học Kỹ thuật Berlin tiết lộ rằng Mô-đun nền tảng đáng tin cậy dựa trên phần sụn của AMD (fTPM / TPM) có thể bị xâm phạm hoàn toàn thông qua một cuộc tấn công tiêm lỗi điện áp, do đó cho phép truy cập đầy đủ vào dữ liệu mật mã được lưu trữ bên trong fTPM . Cuối cùng, điều này cho phép kẻ tấn công thỏa hiệp hoàn toàn bất kỳ ứng dụng hoặc mã hóa nào, như BitLocker, chỉ dựa vào bảo mật dựa trên TPM.
Các nhà nghiên cứu đã hoàn thành kỳ tích này bằng cách sử dụng thành phần có sẵn có giá khoảng 200 đô la để tấn công Bộ xử lý bảo mật nền tảng (PSP) của AMD có trong chip Zen 2 và Zen 3. Báo cáo không chỉ rõ liệu CPU Zen 4 có dễ bị tấn công hay không và cuộc tấn công yêu cầu quyền truy cập vật lý vào máy trong ‘vài giờ’. Các nhà nghiên cứu cũng đã chia sẻ mã được sử dụng cho cuộc tấn công trên GitHub và danh sách các phần cứng rẻ tiền được sử dụng cho cuộc tấn công.
Báo cáo đặc biệt thích hợp khi Microsoft đã thêm TPM vào các yêu cầu hệ thống của mình cho Windows 11, một động thái vấp phải sự phản đối do tác động xấu đến hiệu suất chơi trò chơi ngay cả khi nó hoạt động chính xác và các vấn đề nói lắp nghiêm trọng khi không hoạt động. Có, yêu cầu TPM dễ dàng bị phá vỡ. Tuy nhiên, việc Microsoft thúc đẩy tính năng này đã làm tăng số lượng ứng dụng chỉ dựa vào TPM 2.0 cho các tính năng bảo mật, do đó làm tăng mặt cắt ngang của các ứng dụng dễ bị tấn công bởi lỗi TPM mới.
Xin nhắc lại, các TPM riêng biệt cắm vào bo mạch chủ và giao tiếp với bộ xử lý để cung cấp bảo mật, nhưng bus bên ngoài giữa CPU và TPM đã được chứng minh là có thể bị tấn công bằng nhiều cách tiếp cận khác nhau. Do đó, TPM phần sụn, hoặc fTPM, được tạo để nhúng chức năng bên trong chip, do đó cung cấp bảo mật cấp TPM 2.0 mà không có giao diện dễ bị tấn công trước những kẻ tấn công.
Cuộc tấn công errorTPM tập trung vào việc tấn công fTPM, điều mà theo hiểu biết của chúng tôi, trước đây không thể thực hiện được. Như bạn có thể thấy từ hình ảnh trên của hệ thống Lenovo Ideapad 5 Pro mà các nhà nghiên cứu đã sử dụng để thực hiện cuộc tấn công, đây không phải là một nỗ lực đơn giản và sẽ cần vài giờ truy cập vật lý vào máy. Tuy nhiên, trong trường hợp của các quốc gia hoặc các cấp độ cao nhất của gián điệp hoặc gián điệp của công ty, điều này khá dễ thực hiện.
Ở đây chúng ta có thể thấy nhiều kết nối với nguồn điện, chip BIOS SPI và bus SVI2 (giao diện quản lý nguồn) mà các nhà nghiên cứu đã sử dụng trên đối tượng thử nghiệm của Lenovo. Các kết nối này được sử dụng để thực hiện một cuộc tấn công chèn lỗi điện áp vào PSP có trong CPU Zen 2 và Zen 3, do đó có được bí mật duy nhất của chip cho phép giải mã các đối tượng được lưu trữ trong TPM. Đây là phương pháp tấn công từng bước:
- Sao lưu hình ảnh flash BIOS bằng trình lập trình flash SPI
- Kết nối phần cứng tiêm lỗi và xác định các tham số tấn công (4.1)
- Biên dịch & triển khai tải trọng trích xuất bí mật phái sinh khóa (4.3)
- Khởi động bộ phân tích logic để nắm bắt các bí mật dẫn xuất khóa được trích xuất thông qua SPI
- Bắt đầu chu kỳ tấn công trên máy mục tiêu cho đến khi tải trọng được thực thi thành công
- Phân tích cú pháp và giải mã NVRAM bằng cách sử dụng đầu ra tải trọng và sao lưu BIOS ROM bằng công cụ amd-nv
- Trích xuất và giải mã các đối tượng TPM được bảo vệ bởi fTPM này với amd ftpm unseal
Các nhà nghiên cứu đã giành được thành công quyền truy cập đầy đủ vào TPM và dữ liệu được niêm phong bên trong, do đó cho phép họ thỏa hiệp Mã hóa toàn bộ đĩa BitLocker (FDE) trên thiết bị. Như mọi người có thể tưởng tượng, điều này sẽ dẫn đến toàn quyền truy cập và kiểm soát thiết bị cũng như tất cả dữ liệu chứa trong đó, theo thứ tự tương đối ngắn.
Theo mặc định, BitLocker sử dụng cơ chế chỉ TPM để lưu trữ khóa, nhưng người dùng có thể bật cài đặt mã PIN theo cách thủ công cho phép người dùng chỉ định mã PIN hoạt động song song với cơ chế dựa trên TPM. Tuy nhiên, các mã PIN này không được bật theo mặc định và dễ bị tấn công bởi các phương pháp tấn công vũ phu. Các mã PIN số đơn giản tương đối dễ bị bẻ khóa, nhưng các cụm mật khẩu dựa trên văn bản nghiêm ngặt hơn sẽ khó bị bẻ khóa hơn.
Như đã đề cập, cuộc tấn công này cũng làm lộ các ứng dụng chỉ sử dụng bảo mật dựa trên TPM, trong khi các ứng dụng có nhiều lớp bảo mật sẽ an toàn hơn.
Các nhà nghiên cứu cho rằng vectơ tấn công này không dễ giảm thiểu do chèn lỗi điện áp, do đó, điểm chặn sớm nhất để AMD khắc phục sự cố có lẽ sẽ là với vi kiến trúc CPU thế hệ tiếp theo của họ. Theo các nhà nghiên cứu, Công cụ quản lý và bảo mật hội tụ (CSME) của Intel ngăn chặn các kiểu tấn công này.
Chúng tôi chưa thấy bất kỳ thông tin liên lạc chính thức nào từ AMD về vấn đề này, vì vậy việc phát hành dường như không phải là một phần của tiết lộ phối hợp theo tiêu chuẩn ngành. Chúng tôi đã liên hệ với AMD để biết thêm chi tiết về cuộc tấn công và để xem liệu công ty có kế hoạch giảm thiểu hay không. Chúng tôi sẽ cập nhật khi cần thiết.