Bugs de firmware em computador HP não corrigidos

Bugs de firmware em computador HP não corrigidos por mais de um anoe ainda aguardam correção.

Um conjunto de seis vulnerabilidades de firmware de alta gravidade que afetam uma ampla gama de dispositivos HP usados ​​em ambientes corporativos ainda aguardam correção, embora algumas delas tenham sido divulgadas publicamente desde julho de 2021.

As falhas de firmware são particularmente perigosas porque podem levar a infecções por malware que persistem mesmo entre as reinstalações do sistema operacional ou permitem comprometimentos de longo prazo que não acionariam ferramentas de segurança padrão.

Como  a Binarly destaca no relatório , embora tenha passado um mês desde que algumas das falhas foram divulgadas no Black Hat 2022, o fornecedor não lançou atualizações de segurança para todos os modelos impactados, deixando muitos clientes expostos a ataques.

Os pesquisadores relataram três bugs à HP em julho de 2021 e os outros três em abril de 2022, então o fornecedor teve entre quatro meses e mais de um ano inteiro para enviar atualizações para todos os dispositivos afetados.

Detalhes da vulnerabilidade

As falhas que a equipe de pesquisa de segurança da Binarly descobriu recentemente são todos problemas de corrupção de memória do SMM (System Management Module) que levam à execução arbitrária de código.

O SMM faz parte do firmware UEFI que fornece funções em todo o sistema, como controle de hardware de baixo nível e gerenciamento de energia.

Os privilégios do subsistema SMM (anel -2) excedem os do kernel do sistema operacional (anel 0), portanto, falhas que afetam o SMM podem invalidar recursos de segurança como inicialização segura, criar backdoors invisíveis (para a vítima) e permitir intrusos para instalar implantes de malware persistentes.

As seis falhas que a Binarly diz que a HP deixou sem correção por meses são:

  • CVE-2022-23930 – Estouro de buffer baseado em pilha levando à execução arbitrária de código. (Pontuação CVSS v3: 8,2 “Alta”)
  • CVE-2022-31644 – Gravação fora dos limites no CommBuffer, permitindo ignorar a validação parcial. (Pontuação CVSS v3: 7,5 “Alta”)
  • CVE-2022-31645 – Gravação fora dos limites no CommBuffer com base na não verificação do tamanho do ponteiro enviado ao manipulador SMI. (Pontuação CVSS v3: 8,2 “Alta”)
  • CVE-2022-31646 – Gravação fora dos limites com base na funcionalidade de API de manipulação direta de memória, levando à elevação de privilégios e execução arbitrária de código. (Pontuação CVSS v3: 8,2 “Alta”)
  • CVE-2022-31640 – Validação de entrada inadequada dando aos invasores o controle dos dados do CommBuffer e abrindo caminho para modificações irrestritas. (Pontuação CVSS v3: 7,5 “Alta”)
  • CVE-2022-31641 – Vulnerabilidade de chamada no manipulador SMI levando à execução arbitrária de código. (Pontuação CVSS v3: 7,5 “Alta”)
Acionando corrupção de memória no SMM (CVE-2022-31645)
Acionando corrupção de memória no SMM (CVE-2022-31645) (Binarly)

Status de correção de falhas de segurança

A HP lançou três avisos de segurança reconhecendo as vulnerabilidades mencionadas, juntamente com um número igual de atualizações do BIOS abordando os problemas de alguns dos modelos afetados.

O CVE-2022-23930 foi corrigido em todos os sistemas afetados em março de 2022, exceto para computadores thin client ( verifique o aviso para obter detalhes ).

CVE-2022-31644, CVE-2022-31645 e CVE-2022-31646 receberam atualizações de segurança em 9 de agosto de 2022. 

No entanto, muitos notebooks empresariais (Elite, Zbook, ProBook), desktops empresariais (ProDesk, EliteDesk, ProOne), sistemas de ponto de venda e também estações de trabalho HP (Z1, Z2, Z4, Zcentral) ainda não receberam patches ( verifique assessoria para detalhes ).

CVE-2022-31640 e CVE-2022-31641 receberam correções ao longo de agosto, com a última atualização chegando em 7 de setembro de 2022, mas muitas estações de trabalho HP permanecem expostas sem uma correção oficial ( verifique o aviso para obter detalhes ).

Como comenta Binarly, corrigir falhas de firmware é muito desafiador para um único fornecedor devido à complexidade da cadeia de fornecimento de firmware , então muitos clientes da HP terão que aceitar o risco e aumentar suas medidas de segurança física.

A BleepingComputer entrou em contato com a HP para um comentário sobre quando as atualizações de segurança para o restante dos modelos afetados devem ser lançadas e atualizaremos esta postagem quando obtivermos uma resposta.

Atualização 11/09/12 11h19 EST: Este artigo especificou incorretamente que essas eram vulnerabilidades da HPE. Modifica para se referir corretamente a eles como bugs da HP.

Fonte: BleepingComputer

Veja também:

Sobre mindsecblog 1772 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!