TPM của AMD bị hack: Cuộc tấn công mới đánh bại BitLocker và bảo mật dựa trên TPM

Một bài báo mới được phát hành bởi các nhà nghiên cứu bảo mật tại Đại học Kỹ thuật Berlin tiết lộ rằng Mô-đun nền tảng đáng tin cậy dựa trên phần sụn của AMD (fTPM / TPM) có thể bị xâm phạm hoàn toàn thông qua một cuộc tấn công tiêm lỗi điện áp, do đó cho phép truy cập đầy đủ vào dữ liệu mật mã được lưu trữ bên trong fTPM . Cuối cùng, điều này cho phép kẻ tấn công thỏa hiệp hoàn toàn bất kỳ ứng dụng hoặc mã hóa nào, như BitLocker, chỉ dựa vào bảo mật dựa trên TPM.

Các nhà nghiên cứu đã hoàn thành kỳ tích này bằng cách sử dụng thành phần có sẵn có giá khoảng 200 đô la để tấn công Bộ xử lý bảo mật nền tảng (PSP) của AMD có trong chip Zen 2 và Zen 3. Báo cáo không chỉ rõ liệu CPU Zen 4 có dễ bị tấn công hay không và cuộc tấn công yêu cầu quyền truy cập vật lý vào máy trong ‘vài giờ’. Các nhà nghiên cứu cũng đã chia sẻ mã được sử dụng cho cuộc tấn công trên GitHub và danh sách các phần cứng rẻ tiền được sử dụng cho cuộc tấn công.

Báo cáo đặc biệt thích hợp khi Microsoft đã thêm TPM vào các yêu cầu hệ thống của mình cho Windows 11, một động thái vấp phải sự phản đối do tác động xấu đến hiệu suất chơi trò chơi ngay cả khi nó hoạt động chính xác và các vấn đề nói lắp nghiêm trọng khi không hoạt động. Có, yêu cầu TPM dễ dàng bị phá vỡ. Tuy nhiên, việc Microsoft thúc đẩy tính năng này đã làm tăng số lượng ứng dụng chỉ dựa vào TPM 2.0 cho các tính năng bảo mật, do đó làm tăng mặt cắt ngang của các ứng dụng dễ bị tấn công bởi lỗi TPM mới.

Xin nhắc lại, các TPM riêng biệt cắm vào bo mạch chủ và giao tiếp với bộ xử lý để cung cấp bảo mật, nhưng bus bên ngoài giữa CPU và TPM đã được chứng minh là có thể bị tấn công bằng nhiều cách tiếp cận khác nhau. Do đó, TPM phần sụn, hoặc fTPM, được tạo để nhúng chức năng bên trong chip, do đó cung cấp bảo mật cấp TPM 2.0 mà không có giao diện dễ bị tấn công trước những kẻ tấn công.

Cuộc tấn công errorTPM tập trung vào việc tấn công fTPM, điều mà theo hiểu biết của chúng tôi, trước đây không thể thực hiện được. Như bạn có thể thấy từ hình ảnh trên của hệ thống Lenovo Ideapad 5 Pro mà các nhà nghiên cứu đã sử dụng để thực hiện cuộc tấn công, đây không phải là một nỗ lực đơn giản và sẽ cần vài giờ truy cập vật lý vào máy. Tuy nhiên, trong trường hợp của các quốc gia hoặc các cấp độ cao nhất của gián điệp hoặc gián điệp của công ty, điều này khá dễ thực hiện.

Ở đây chúng ta có thể thấy nhiều kết nối với nguồn điện, chip BIOS SPI và bus SVI2 (giao diện quản lý nguồn) mà các nhà nghiên cứu đã sử dụng trên đối tượng thử nghiệm của Lenovo. Các kết nối này được sử dụng để thực hiện một cuộc tấn công chèn lỗi điện áp vào PSP có trong CPU Zen 2 và Zen 3, do đó có được bí mật duy nhất của chip cho phép giải mã các đối tượng được lưu trữ trong TPM. Đây là phương pháp tấn công từng bước:

• Sao lưu hình ảnh flash BIOS bằng trình lập trình flash SPI
• Kết nối phần cứng tiêm lỗi và xác định các tham số tấn công (4.1)
• Biên dịch & triển khai tải trọng trích xuất bí mật phái sinh khóa (4.3)
• Khởi động bộ phân tích logic để nắm bắt các bí mật dẫn xuất khóa được trích xuất thông qua SPI
• Bắt đầu chu kỳ tấn công trên máy mục tiêu cho đến khi tải trọng được thực thi thành công
• Phân tích cú pháp và giải mã NVRAM bằng cách sử dụng đầu ra tải trọng và sao lưu BIOS ROM bằng công cụ amd-nv
• Trích xuất và giải mã các đối tượng TPM được bảo vệ bởi fTPM này với amd ftpm unseal