Biztonsági kutatók rejtett sebezhetőséget találtak a HP üzlet-orientált notebookjainak több modelljében, amelyek továbbra is javítás nélkül vannak – mondta (Sic) Binarily hallgatóinak a Black Code konferencián.
Azt mondta, hogy ezeket a hibákat „nehéz észlelni TPM-mérésekkel”.
A firmware hibáinak komoly következményei lehetnek, mivel lehetővé teszik az ellenfél számára, hogy hosszú távú kitartást érjen el a háttérben futó eszközön, kikerülve a hagyományos operációs rendszer biztonsági védelmet.
A Binarly által azonosított súlyos biztonsági rések a HP EliteBook eszközöket érintik, és a firmware rendszerkezelési módjában (SMM) előforduló memóriasérülést érintik, lehetővé téve a támadó számára, hogy tetszőleges kódot hajtson végre a legmagasabb jogosultságokkal –
- CVE-2022-23930 (CVSS pontszám: 8,2) – Verem alapú puffertúlcsordulás
- CVE-2022-31640 (CVSS pontszám: 7,5) – Nem megfelelő beviteli ellenőrzés
- CVE-2022-31641 (CVSS pontszám: 7,5) – Nem megfelelő beviteli ellenőrzés
- CVE-2022-31644 (CVSS pontszám: 7,5) – Határon kívüli írás
- CVE-2022-31645 (CVSS pontszám: 8,2) – Határon kívüli írás
- CVE-2022-31646 (CVSS pontszám: 8,2) – Határon kívüli írás
A hibák közül hármat (CVE-2022-23930, CVE-2022-31640 és CVE-2022-31641) értesítették a HP-t 2021 júliusában, a fennmaradó három sebezhetőséget (CVE-2022-31644, CVE-206422,-31) és CVE-2022-31646) 2022 áprilisában jelentették.
Érdemes megjegyezni, hogy a CVE-2022-23930 is egyike annak a 16 biztonsági hibának, amelyeket korábban idén februárban jeleztek, mivel a HP számos vállalati modelljét érinti.
Az SMM egy speciális célú mód, amelyet a firmware használ a rendszerszintű funkciók kezelésére, mint például az energiagazdálkodás, a hardveres megszakítások vagy más védett kód.
Az SMM komponensben azonosított hiányosságok ezért felhasználhatók aljas tevékenységek végrehajtására, magasabb jogosultságokkal, mint az operációs rendszeré.
Bár a HP márciusban és augusztusban kiadott enyhítő intézkedéseket a hibák kiküszöbölésére, még mindig nem hajtották végre a javításokat az összes érintett modellre. Ez azt jelenti, hogy az ügyfelek kibertámadások veszélyének vannak kitéve, amíg nem telepítik a javítást
„Sok esetben a firmware egyetlen hibapont az ellátási lánc összes rétege és a végponti ügyféleszköz között” – mondta Binarly. „Nem elég egyetlen szállítónál kijavítani a sebezhetőségeket.”
„A firmware-ellátási lánc összetettsége miatt vannak olyan hiányosságok, amelyeket nehéz bezárni a gyártási oldalon, mivel ez olyan problémákkal jár, amelyek az eszközgyártókon kívül esnek.”
A bejelentés akkor is megérkezik, amikor a PC-gyártó a múlt héten kijavította a támogatási asszisztens hibaelhárító szoftverében a privilégiumok eszkalációjának hibáját (CVE-2022-38395, CVSS pontszám: 8,2).
„Lehetséges, hogy a támadó kihasználja a DLL-eltérítő sebezhetőséget, és jogosultságokat emeljen, amikor a HP Performance Tune-up elindítja a Fusiont” – jegyezte meg a vállalat egy tanácsában.