Una serie de fallas de seguridad de firmware descubiertas en las computadoras portátiles de gama alta orientadas a los negocios de HP continúan sin parcharse en algunos dispositivos incluso meses después de la divulgación pública.
Binarly, que reveló por primera vez los detalles de los problemas en la conferencia Black Hat USA a mediados de agosto de 2022, dijo que las vulnerabilidades «no pueden ser detectadas por los sistemas de monitoreo de integridad del firmware debido a las limitaciones de la medición del Módulo de plataforma segura (TPM)».
Las fallas de firmware pueden tener implicaciones graves, ya que un adversario puede abusar de ellas para lograr una persistencia a largo plazo en un dispositivo de una manera que pueda sobrevivir a los reinicios y evadir las protecciones de seguridad tradicionales del sistema operativo.
Las debilidades de alta gravedad identificadas por Binarly afectan a los dispositivos HP EliteBook y se refieren a un caso de corrupción de memoria en el modo de administración del sistema (SMM) del firmware, lo que permite la ejecución de código arbitrario con los privilegios más altos:
- CVE-2022-23930 (puntaje CVSS: 8.2) – Desbordamiento de búfer basado en pila
- CVE-2022-31640 (puntaje CVSS: 7.5) – Validación de entrada incorrecta
- CVE-2022-31641 (puntaje CVSS: 7.5) – Validación de entrada incorrecta
- CVE-2022-31644 (puntuación CVSS: 7,5): escritura fuera de los límites
- CVE-2022-31645 (puntuación CVSS: 8,2): escritura fuera de los límites
- CVE-2022-31646 (puntuación CVSS: 8,2): escritura fuera de los límites
Tres de los errores (CVE-2022-23930, CVE-2022-31640 y CVE-2022-31641) se notificaron a HP en julio de 2021, con las tres vulnerabilidades restantes (CVE-2022-31644, CVE-2022-31645, y CVE-2022-31646) informado en abril de 2022.
Vale la pena señalar que CVE-2022-23930 también es una de las 16 fallas de seguridad que se señalaron anteriormente en febrero como un impacto en varios modelos empresariales de HP.
SMM, también llamado «Ring -2», es un modo de propósito especial utilizado por el firmware (es decir, UEFI) para manejar funciones de todo el sistema, como administración de energía, interrupciones de hardware u otro código diseñado por el fabricante de equipos originales (OEM). .
Las deficiencias identificadas en el componente SMM pueden, por lo tanto, actuar como un lucrativo vector de ataque para que los actores de amenazas realicen actividades nefastas con mayores privilegios que los del sistema operativo.
Aunque HP lanzó mitigaciones para abordar las fallas en marzo y agosto, el proveedor aún tiene que impulsar los parches para todos los modelos afectados, lo que podría exponer a los clientes al riesgo de ataques cibernéticos.
«En muchos casos, el firmware es un único punto de falla entre todas las capas de la cadena de suministro y el dispositivo final del cliente», dijo Binarly , y agregó que «arreglar las vulnerabilidades de un solo proveedor no es suficiente».
«Como resultado de la complejidad de la cadena de suministro de firmware , existen brechas que son difíciles de cerrar en el extremo de la fabricación, ya que involucra problemas que escapan al control de los proveedores de dispositivos».
La divulgación también llega cuando el fabricante de PC implementó la semana pasada correcciones para una falla de escalada de privilegios (CVE-2022-38395, puntaje CVSS: 8.2) en su software de solución de problemas Support Assistant.
«Es posible que un atacante explote la vulnerabilidad de secuestro de DLL y eleve los privilegios cuando Fusion lanza HP Performance Tune-up», señaló la compañía en un aviso.