Les chercheurs en sécurité ont découvert des vulnérabilités cachées dans plusieurs modèles d'ordinateurs portables HP destinés aux entreprises qui ne sont toujours pas corrigés, a déclaré (Sic) Binarily aux auditeurs de la conférence Black Code.
Il a déclaré que ces défauts sont "difficiles à détecter avec des mesures TPM".
Les failles du micrologiciel peuvent avoir de graves implications car elles permettent à un adversaire d'obtenir une persistance à long terme sur un appareil fonctionnant en arrière-plan, en contournant les protections de sécurité traditionnelles du système d'exploitation.
Les vulnérabilités de haute gravité identifiées par Binarly affectent les appareils HP EliteBook et concernent un cas de corruption de la mémoire dans le mode de gestion du système (SMM) du micrologiciel, permettant ainsi à un attaquant d'exécuter du code arbitraire avec les privilèges les plus élevés -
- CVE-2022-23930 (Score CVSS : 8,2) - Débordement de tampon basé sur la pile
- CVE-2022-31640 (Score CVSS : 7,5) – Mauvaise validation des entrées
- CVE-2022-31641 (Score CVSS : 7,5) – Mauvaise validation des entrées
- CVE-2022-31644 (Score CVSS : 7,5) – Écriture hors limites
- CVE-2022-31645 (Score CVSS : 8,2) - Écriture hors limites
- CVE-2022-31646 (Score CVSS : 8,2) - Écriture hors limites
Trois des bogues (CVE-2022-23930, CVE-2022-31640 et CVE-2022-31641) ont été notifiés à HP en juillet 2021, les trois vulnérabilités restantes (CVE-2022-31644, CVE-2022-31645, et CVE-2022-31646) signalé en avril 2022.
Il convient de noter que CVE-2022-23930 est également l'une des 16 failles de sécurité précédemment signalées en février comme affectant plusieurs modèles d'entreprise de HP.
SMM est un mode à usage spécial utilisé par le micrologiciel pour gérer des fonctions à l'échelle du système telles que la gestion de l'alimentation, les interruptions matérielles ou tout autre code propriétaire.
Les lacunes identifiées dans le composant SMM peuvent donc être utilisées pour effectuer des activités néfastes avec des privilèges supérieurs à ceux du système d'exploitation.
Bien que HP ait publié des mesures d'atténuation pour corriger les failles en mars et août, ils n'ont pas encore mis en place les correctifs pour tous les modèles concernés. Cela signifie que les clients sont exposés à des cyberattaques jusqu'à ce qu'ils installent le correctif
"Dans de nombreux cas, le micrologiciel est un point de défaillance unique entre toutes les couches de la chaîne d'approvisionnement et l'appareil client du point final", a déclaré Binarly. "Corriger les vulnérabilités d'un seul fournisseur ne suffit pas."
"En raison de la complexité de la chaîne d'approvisionnement des micrologiciels, il existe des lacunes difficiles à combler du côté de la fabrication, car cela implique des problèmes indépendants du contrôle des fournisseurs d'appareils."
La divulgation arrive également alors que le fabricant de PC a déployé la semaine dernière des correctifs pour une faille d'escalade de privilèges (CVE-2022-38395, score CVSS : 8,2) dans son logiciel de dépannage Support Assistant.
"Il est possible pour un attaquant d'exploiter la vulnérabilité de piratage de DLL et d'élever les privilèges lorsque HP Performance Tune-up lance Fusion", a noté la société dans un avis.
Français de Belgique 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada