(Sic) Binarily در کنفرانس Black Code به شنوندگان گفت: محققان امنیتی آسیبپذیریهای پنهانی را در چندین مدل از نوتبوکهای تجاریمحور HP پیدا کردهاند که همچنان بدون اصلاح هستند.
گفته میشود که تشخیص این نقصها با اندازهگیریهای TPM دشوار است.
نقصهای میانافزار میتوانند پیامدهای جدی داشته باشند، زیرا به حریف اجازه میدهند تا در دستگاهی که در پسزمینه کار میکند، پایداری طولانیمدت داشته باشد و از حفاظتهای امنیتی سیستم عامل سنتی فرار کند.
آسیبپذیریهای با شدت بالا که توسط Binarly شناسایی شدهاند، دستگاههای HP EliteBook را تحت تأثیر قرار میدهند و مربوط به یک مورد خرابی حافظه در حالت مدیریت سیستم (SMM) سفتافزار است، در نتیجه مهاجم را قادر میسازد تا کد دلخواه را با بالاترین امتیازات اجرا کند.
- CVE-2022-23930 (امتیاز CVSS: 8.2) - سرریز بافر مبتنی بر پشته
- CVE-2022-31640 (امتیاز CVSS: 7.5) - اعتبار سنجی ورودی نامناسب
- CVE-2022-31641 (امتیاز CVSS: 7.5) - اعتبار سنجی ورودی نامناسب
- CVE-2022-31644 (امتیاز CVSS: 7.5) - نوشتن خارج از محدوده
- CVE-2022-31645 (امتیاز CVSS: 8.2) - نوشتن خارج از محدوده
- CVE-2022-31646 (امتیاز CVSS: 8.2) - نوشتن خارج از محدوده
سه مورد از باگها (CVE-2022-23930، CVE-2022-31640، و CVE-2022-31641) در ژوئیه 2021 به HP اطلاع داده شد و سه آسیبپذیری باقی مانده (CVE-2022-31644، CVE-20453، CVE-2022-2022-2022) و CVE-2022-31646) در آوریل 2022 گزارش شد.
شایان ذکر است که CVE-2022-23930 نیز یکی از 16 نقص امنیتی است که قبلاً در فوریه امسال به عنوان تأثیرگذار بر چندین مدل سازمانی HP شناسایی شده بود.
SMM یک حالت هدف ویژه است که توسط سیستم عامل برای مدیریت عملکردهای گسترده سیستم مانند مدیریت انرژی، وقفه های سخت افزاری یا سایر کدهای اختصاصی استفاده می شود.
بنابراین، کاستیهای شناساییشده در مؤلفه SMM میتواند برای انجام فعالیتهای شرورانه با امتیازات بالاتر از سیستم عامل استفاده شود.
اگرچه HP اقدامات کاهشی را برای رفع نقصها در ماههای مارس و آگوست منتشر کرده است، اما هنوز اصلاحیههایی را برای همه مدلهای آسیب دیده ارائه نکردهاند. این بدان معناست که مشتریان تا زمانی که پچ را نصب نکنند در معرض خطر حملات سایبری قرار دارند
Binarly گفت: "در بسیاری از موارد، سیستم عامل یک نقطه شکست بین تمام لایه های زنجیره تامین و دستگاه مشتری نقطه پایانی است." "رفع آسیب پذیری ها برای یک فروشنده کافی نیست."
در نتیجه پیچیدگی زنجیره تامین سفتافزار، شکافهایی وجود دارد که به سختی میتوان آنها را در انتهای تولید بسته کرد، زیرا شامل مسائلی فراتر از کنترل فروشندگان دستگاه میشود.
این افشاگری همچنین زمانی منتشر شد که سازنده رایانه شخصی در هفته گذشته اصلاحاتی را برای نقص افزایش امتیاز (CVE-2022-38395، امتیاز CVSS: 8.2) در نرم افزار عیب یابی دستیار پشتیبانی خود ارائه کرد.
این شرکت در توصیهای خاطرنشان کرد: «این امکان وجود دارد که یک مهاجم از آسیبپذیری ربودن DLL سوء استفاده کند و امتیازات خود را با راهاندازی Fusion افزایش دهد.»