Die ROCA Attack liefert Angreifern private RSA Schlüssel aus dem TPM

by , on


Wir berichten eigentlich lieber über schöne neue Features aber dieser Monat hat es einfach in sich. Nach KRACK hier nun gleich der nächste Kracher für die SysAdmins unter den Lesern:

Diesmal geht es um das weit verbreitete Trusted Platform Module (TPM) von Infineon Technologies oder besser gesagt um den hierin enthaltenen Programmcode zum Generieren eines RSA Schlüsselpaars. Das TPM wird für kryptografische Operationen genutzt und kommt zum Beispiel bei der Laufwerksverschlüsselung auf Servern, PCs und Notebooks zum Einsatz.

Die Schwachstelle hinter dem ROCA (Return of Coppersmith’s Attack) genannten Angriff (CVE-2017-15361) ermöglicht den privaten Schlüssel (welcher zum Entschlüsseln der gespeicherten Informationen erforderlich ist) anhand des öffentlichen Schlüssels, zu rekonstruieren.

Kurz: Zuvor als sicher verschlüsselt geglaubte Daten können von unbefugten lesbar gemacht werden.

Der Angriff selbst ist nicht neu und wurde bereits vor 5 Jahren von Sicherheitsforschern der Masaryk Universität in der Tschechischen Republik entdeckt.

Die Schwachstelle ist in TPM Chips bis zurück in das Jahr 2012 vorhanden. Anwendbar ist die Schwachstelle auf RSA Schlüssel mit 1024 und 2048 Bit, was die verbreitetsten Schlüssellängen sind.

Mitgeteilt wurde dies Infineon Technologies vertraulich im Februar dieses Jahres. Eine vollständige Veröffentlichung erfolgt jedoch erst am 2. November im Rahmen der ACM (Conference on Computer and Communications Security) um Herstellern ausreichen Zeit für Fehlerkorrekturen zu geben.

Ein Großteil der unter anderem von HP, Lenovo und Fujitsu gefertigten Systeme mit TPM Chip sind hiervon betroffen. Die meisten Hersteller haben inzwischen Software-Updates sowie Anleitungen zur Problemlösung veröffentlicht:

Fujitsu: http://support.ts.fujitsu.com/content/InfineonTPM.asp

Google: https://sites.google.com/a/chromium.org/dev/chromium-os/tpm_firmware_update

HP: https://support.hp.com/si-en/document/c05792935

Infineon: https://www.infineon.com/cms/en/product/promopages/tpm-update/?redirId=59160

Lenovo: https://support.lenovo.com/in/en/product_security/len-15552

Microsoft: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV170012

Wir raten betroffene Geräte umgehend zu aktualisieren. Eine grobe Beschreibung wie auch Tools zur Überprüfung der eigenen Systeme sind unter https://crocs.fi.muni.cz/public/papers/rsa_ccs17 verfügbar.


What do you think?