Một số lỗi bảo mật phần sụn được phát hiện trong máy tính xách tay cao cấp dành cho doanh nghiệp của HP tiếp tục chưa được vá trong một số thiết bị, thậm chí vài tháng sau khi công bố rộng rãi.
Binarly, người lần đầu tiên tiết lộ chi tiết về các vấn đề tại hội nghị Black Hat USA vào giữa tháng 8 năm 2022, cho biết các lỗ hổng “không thể được phát hiện bởi các hệ thống giám sát tính toàn vẹn phần sụn do các hạn chế của phép đo Mô-đun Nền tảng Tin cậy (TPM).”
Các lỗ hổng chương trình cơ sở có thể có những tác động nghiêm trọng vì chúng có thể bị kẻ thù lạm dụng để đạt được sự tồn tại lâu dài trên thiết bị theo cách có thể tồn tại khi khởi động lại và tránh các biện pháp bảo mật cấp hệ điều hành truyền thống.
Các điểm yếu nghiêm trọng cao được Binarly xác định ảnh hưởng đến thiết bị HP EliteBook và liên quan đến trường hợp hỏng bộ nhớ trong Chế độ quản lý hệ thống (SMM) của phần sụn, do đó cho phép thực thi mã tùy ý với các đặc quyền cao nhất –
CVE-2022-23930 (Điểm CVSS: 8,2) – Tràn bộ đệm dựa trên ngăn xếp
CVE-2022-31640 (Điểm CVSS: 7,5) – Xác thực đầu vào không đúng
CVE-2022-31641 (Điểm CVSS: 7,5) – Xác thực đầu vào không đúng
CVE-2022-31644 (Điểm CVSS: 7,5) – Viết ngoài giới hạn
CVE-2022-31645 (Điểm CVSS: 8,2) – Viết ngoài giới hạn
CVE-2022-31646 (Điểm CVSS: 8.2) – Viết ngoài giới hạn
Ba trong số các lỗi (CVE-2022-23930, CVE-2022-31640 và CVE-2022-31641) đã được thông báo cho HP vào tháng 7 năm 2021, với ba lỗ hổng còn lại (CVE-2022-31644, CVE-2022-31645, và CVE-2022-31646) được báo cáo vào tháng 4 năm 2022.
Cần lưu ý rằng CVE-2022-23930 cũng là một trong 16 lỗi bảo mật đã bị gắn cờ trước đó vào đầu tháng Hai này do ảnh hưởng đến một số mô hình doanh nghiệp của HP.
SMM, còn được gọi là “Ring -2”, là một chế độ có mục đích đặc biệt được sử dụng bởi phần sụn (tức là UEFI) để xử lý các chức năng trên toàn hệ thống như quản lý nguồn, ngắt phần cứng hoặc mã được thiết kế bởi nhà sản xuất thiết bị gốc (OEM) độc quyền khác .
Do đó, những thiếu sót được xác định trong thành phần SMM có thể hoạt động như một vectơ tấn công sinh lợi cho các tác nhân đe dọa thực hiện các hoạt động bất chính với các đặc quyền cao hơn của hệ điều hành.
Mặc dù HP đã phát hành các bản cập nhật để giải quyết các lỗ hổng trong tháng 3 và tháng 8, nhưng nhà cung cấp vẫn chưa đẩy các bản vá cho tất cả các mẫu máy bị ảnh hưởng, có thể khiến khách hàng gặp phải nguy cơ bị tấn công mạng.
Binarly cho biết: “Trong nhiều trường hợp, phần sụn là một điểm lỗi duy nhất giữa tất cả các lớp của chuỗi cung ứng và thiết bị khách hàng điểm cuối,” Binarly cho biết thêm, “việc sửa các lỗ hổng cho một nhà cung cấp là không đủ”.
“Do sự phức tạp của chuỗi cung ứng phần sụn, có những lỗ hổng khó đóng lại ở khâu sản xuất vì nó liên quan đến các vấn đề nằm ngoài tầm kiểm soát của các nhà cung cấp thiết bị.”
Tiết lộ cũng được đưa ra khi nhà sản xuất PC vào tuần trước đã tung ra các bản sửa lỗi cho lỗi báo cáo đặc quyền (CVE-2022-38395, điểm CVSS: 8,2) trong phần mềm khắc phục sự cố Hỗ trợ của họ.
“Kẻ tấn công có thể khai thác lỗ hổng xâm nhập DLL và nâng cao đặc quyền khi Fusion khởi chạy HP Performance Tune-up”, công ty lưu ý trong một lời khuyên.
.
