Windows 11の要件の一つはセキュリティチップのTPM(Trusted Platform Module) 2.0を搭載している事だが、このTPM 2.0の脆弱性が2023年2月28日付で公表されている。
Windows 8以降でPCがブートする際、UEFIから検証しながらブートするセキュアブート(Secure Boot)となっているが、はじめにブートするデータは信頼できる物という前提(Static Root of Trust Measurement: SRTM)になっている。しかし、そこに問題がある場合は、その後の検証も信頼できなくなってしまうという問題がある。
そこでTPM 2.0など、すべての条件がそろったWindows 11(条件によってはWindows 10も)からは、盲目的に信頼せずに、はじめに読み込んだモジュールも途中で検証する動的な信頼の起点(Dynamic Root of Trust Measurement: DRTM)で、すべてのモジュールを検証するようになった。
Windows自体のパスワードレスログインのWindows Helloでは、ログインする人とデバイスの認証、デバイスからMicrosoftへの認証に使う公開鍵認証で、TPMに安全に保管されている情報を使う。
このような、Windowsでのセキュアなブートやログインに関して重要な要素のTPM 2.0に脆弱性が見つかったため、各デバイスでのアップデートが必要になっている。対応しているところは2023年3月現在でまだ多くないようだ。
利用デバイスのアップデート情報はこの問題に限らず常にチェックしておきたい。
CVE-2023-1018
CVE-2023-1017
https://content.quarkslab.com/major-vulnerabilities-tpm20
https://kb.cert.org/vuls/id/782720