HP’nin iş odaklı üst düzey dizüstü bilgisayarlarında ortaya çıkarılan bir dizi ürün yazılımı güvenlik açığı, kamuya açıklandıktan aylar sonra bile bazı cihazlarda yamasız kalmaya devam ediyor.
İkili, hangisi ilk ortaya çıkan detaylar adresindeki konulardan Black Hat ABD konferansı Ağustos 2022’nin ortalarında, güvenlik açıklarının “Güvenilir Platform Modülü (TPM) ölçümünün sınırlamaları nedeniyle bellenim bütünlüğü izleme sistemleri tarafından tespit edilemediğini” söyledi.
Ürün yazılımı kusurları, bir cihazda yeniden başlatmalardan kurtulabilecek ve geleneksel işletim sistemi düzeyinde güvenlik korumalarından kaçabilecek şekilde uzun süreli kalıcılık sağlamak için bir düşman tarafından kötüye kullanılabildikleri için ciddi sonuçlar doğurabilir.
Binarly tarafından belirlenen yüksek önem düzeyine sahip zayıflıklar, HP EliteBook aygıtlarını etkiler ve bellenimin Sistem Yönetim Modunda (SMM) bir bellek bozulması durumuyla ilgilidir, böylece en yüksek ayrıcalıklarla rastgele kodun yürütülmesini sağlar –
- CVE-2022-23930 (CVSS puanı: 8.2) – Yığın tabanlı arabellek taşması
- CVE-2022-31640 (CVSS puanı: 7.5) – Yanlış giriş doğrulaması
- CVE-2022-31641 (CVSS puanı: 7.5) – Yanlış giriş doğrulaması
- CVE-2022-31644 (CVSS puanı: 7.5) – Sınır dışı yazma
- CVE-2022-31645 (CVSS puanı: 8.2) – Sınır dışı yazma
- CVE-2022-31646 (CVSS puanı: 8.2) – Sınır dışı yazma
Hatalardan üçü (CVE-2022-23930, CVE-2022-31640 ve CVE-2022-31641) Temmuz 2021’de HP’ye bildirildi ve kalan üç güvenlik açığı (CVE-2022-31644, CVE-2022-31645, ve CVE-2022-31646) Nisan 2022’de raporlanmıştır.
CVE-2022-23930’un aynı zamanda bu Şubat ayının başlarında HP’nin çeşitli kurumsal modellerini etkilediği şeklinde işaretlenen 16 güvenlik açığından biri olduğunu belirtmekte fayda var.
“Ring -2” olarak da adlandırılan SMM, güç yönetimi, donanım kesintileri veya diğer tescilli orijinal ekipman üreticisi (OEM) tarafından tasarlanmış kod gibi sistem çapında işlevleri işlemek için bellenim (yani UEFI) tarafından kullanılan özel amaçlı bir moddur. .
Bu nedenle, SMM bileşeninde tanımlanan eksiklikler, tehdit aktörlerinin işletim sisteminden daha yüksek ayrıcalıklarla hain faaliyetler gerçekleştirmesi için kazançlı bir saldırı vektörü olarak hareket edebilir.
HP piyasaya sürülmesine rağmen güncellemeler ile adres en kusurlar Mart ve Ağustos aylarında satıcı, etkilenen tüm modeller için düzeltme eklerini henüz zorlamadı ve bu da müşterileri potansiyel olarak siber saldırı riskine maruz bıraktı.
Binarly, “Birçok durumda ürün yazılımı, tedarik zincirinin tüm katmanları ile uç nokta müşteri cihazı arasındaki tek bir arıza noktasıdır.” söz konusu“tek bir satıcı için güvenlik açıklarını düzeltmek yeterli değil.”
“Firmware tedarik zincirinin karmaşıklığının bir sonucu olarak, cihaz satıcılarının kontrolü dışındaki sorunları içerdiğinden üretim tarafında kapatılması zor olan boşluklar var.”
Açıklama, geçen hafta PC üreticisinin Support Assistant sorun giderme yazılımında bir ayrıcalık yükseltme kusuru (CVE-2022-38395, CVSS puanı: 8.2) için düzeltmeler yayınlamasıyla da geldi.
Şirket, “Fusion, HP Performance Tune-up’ı başlattığında bir saldırganın DLL ele geçirme güvenlik açığından yararlanması ve ayrıcalıkları yükseltmesi mümkündür” dedi. kayıt edilmiş bir danışma belgesinde.