I ricercatori di sicurezza hanno trovato vulnerabilità nascoste in diversi modelli di notebook orientati al business di HP che continuano a essere privi di patch, ha detto (Sic) Binarily agli ascoltatori alla conferenza Black Code.
Ha affermato che questi difetti sono "difficili da rilevare con le misurazioni TPM".
I difetti del firmware possono avere gravi implicazioni in quanto consentono a un avversario di ottenere la persistenza a lungo termine su un dispositivo in esecuzione in background, eludendo le tradizionali protezioni di sicurezza del sistema operativo.
Le vulnerabilità ad alta gravità identificate da Binarly interessano i dispositivi HP EliteBook e riguardano un caso di danneggiamento della memoria nella modalità di gestione del sistema (SMM) del firmware, consentendo così a un utente malintenzionato di eseguire codice arbitrario con i privilegi più elevati:
- CVE-2022-23930 (Punteggio CVSS: 8.2) – Overflow del buffer basato su stack
- CVE-2022-31640 (Punteggio CVSS: 7,5) – Convalida dell'input non corretta
- CVE-2022-31641 (Punteggio CVSS: 7,5) – Convalida dell'input non corretta
- CVE-2022-31644 (Punteggio CVSS: 7,5) – Scrittura fuori campo
- CVE-2022-31645 (Punteggio CVSS: 8.2) – Scrittura fuori campo
- CVE-2022-31646 (Punteggio CVSS: 8.2) – Scrittura fuori campo
Tre dei bug (CVE-2022-23930, CVE-2022-31640 e CVE-2022-31641) sono stati notificati ad HP nel luglio 2021, con le restanti tre vulnerabilità (CVE-2022-31644, CVE-2022-31645, e CVE-2022-31646) segnalati nell'aprile 2022.
Vale la pena notare che CVE-2022-23930 è anche uno dei 16 difetti di sicurezza precedentemente segnalati questo febbraio come impatto su diversi modelli aziendali di HP.
SMM è una modalità per scopi speciali utilizzata dal firmware per gestire funzioni a livello di sistema come la gestione dell'alimentazione, interruzioni hardware o altro codice proprietario.
Le carenze identificate nel componente SMM possono, quindi, essere utilizzate per eseguire attività nefaste con privilegi superiori a quelli del sistema operativo.
Sebbene HP abbia rilasciato mitigazioni per risolvere i difetti a marzo e agosto, deve ancora inviare le patch per tutti i modelli interessati. Ciò significa che i clienti sono a rischio di attacchi informatici finché non installano la patch
"In molti casi, il firmware è un singolo punto di errore tra tutti i livelli della catena di fornitura e il dispositivo del cliente endpoint", ha affermato Binarly. "Risolvere le vulnerabilità per un singolo fornitore non è sufficiente."
"A causa della complessità della catena di fornitura del firmware, ci sono lacune che sono difficili da colmare sul lato della produzione poiché comporta problemi al di fuori del controllo dei fornitori di dispositivi".
La divulgazione arriva anche quando il produttore di PC la scorsa settimana ha implementato correzioni per un difetto di escalation dei privilegi (CVE-2022-38395, punteggio CVSS: 8.2) nel suo software di risoluzione dei problemi Support Assistant.
"È possibile che un utente malintenzionato sfrutti la vulnerabilità del dirottamento della DLL e aumenti i privilegi quando HP Performance Tune-up lancia Fusion", ha osservato la società in un avviso.
Italiano 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Tiếng Việt 
Українська 
فارسی 
Français du Canada