Sicherheitsforscher haben versteckte Schwachstellen in mehreren Modellen von HPs Business-orientierten Notebooks gefunden, die weiterhin ungepatcht sind, sagte (Sic) Binarily den Zuhörern auf der Black Code-Konferenz.
Diese Fehler seien „mit TPM-Messungen schwer zu erkennen“.
Firmware-Fehler können schwerwiegende Folgen haben, da sie es einem Angreifer ermöglichen, eine langfristige Persistenz auf einem im Hintergrund laufenden Gerät zu erreichen, wodurch herkömmliche Sicherheitsmaßnahmen des Betriebssystems umgangen werden.
Die von Binarly identifizierten Sicherheitslücken mit hohem Schweregrad betreffen HP EliteBook-Geräte und betreffen einen Fall von Speicherbeschädigung im System Management Mode (SMM) der Firmware, wodurch ein Angreifer beliebigen Code mit höchsten Privilegien ausführen kann –
- CVE-2022-23930 (CVSS-Bewertung: 8,2) – Stapelbasierter Pufferüberlauf
- CVE-2022-31640 (CVSS-Punktzahl: 7,5) – Unsachgemäße Eingabevalidierung
- CVE-2022-31641 (CVSS-Punktzahl: 7,5) – Unsachgemäße Eingabevalidierung
- CVE-2022-31644 (CVSS-Punktzahl: 7,5) – Out-of-bounds schreiben
- CVE-2022-31645 (CVSS-Punktzahl: 8,2) – Out-of-bounds schreiben
- CVE-2022-31646 (CVSS-Punktzahl: 8,2) – Out-of-bounds schreiben
Drei der Fehler (CVE-2022-23930, CVE-2022-31640 und CVE-2022-31641) wurden HP im Juli 2021 gemeldet, die verbleibenden drei Schwachstellen (CVE-2022-31644, CVE-2022-31645, und CVE-2022-31646), die im April 2022 gemeldet wurden.
Es ist erwähnenswert, dass CVE-2022-23930 auch eine der 16 Sicherheitslücken ist, die im Februar zuvor als Auswirkungen auf mehrere Unternehmensmodelle von HP gemeldet wurden.
SMM ist ein Spezialmodus, der von der Firmware verwendet wird, um systemweite Funktionen wie Energieverwaltung, Hardwareunterbrechungen oder anderen proprietären Code zu handhaben.
In der SMM-Komponente identifizierte Mängel können daher dazu verwendet werden, schändliche Aktivitäten mit höheren Rechten als denen des Betriebssystems durchzuführen.
Obwohl HP im März und August Maßnahmen zur Behebung der Fehler veröffentlicht hat, müssen die Patches für alle betroffenen Modelle noch veröffentlicht werden. Das bedeutet, dass Kunden bis zur Installation des Patches einem Cyberangriffsrisiko ausgesetzt sind
„In vielen Fällen ist Firmware ein Single Point of Failure zwischen allen Ebenen der Lieferkette und dem Endpoint-Kundengerät“, sagte Binarly. „Es reicht nicht aus, Schwachstellen für einen einzelnen Anbieter zu beheben.“
„Aufgrund der Komplexität der Firmware-Lieferkette gibt es Lücken, die auf der Herstellungsseite schwer zu schließen sind, da es um Probleme geht, die außerhalb der Kontrolle der Gerätehersteller liegen.“
Die Offenlegung erfolgt auch, als der PC-Hersteller letzte Woche Fixes für einen Privilegien-Eskalationsfehler (CVE-2022-38395, CVSS-Wert: 8,2) in seiner Support Assistant-Fehlerbehebungssoftware einführte.
„Es ist einem Angreifer möglich, die DLL-Hijacking-Schwachstelle auszunutzen und Berechtigungen zu erhöhen, wenn HP Performance Tune-up Fusion startet“, bemerkte das Unternehmen in einem Advisory.
Deutsch (Sie) 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada