Un certain nombre de failles de sécurité du micrologiciel découvertes dans les ordinateurs portables haut de gamme à vocation professionnelle de HP continuent de ne pas être corrigées dans certains appareils, même des mois après leur divulgation publique.
Binairement, quel premier détails révélés des enjeux au niveau Conférence Black Hat USA à la mi-août 2022, a déclaré que les vulnérabilités “ne peuvent pas être détectées par les systèmes de surveillance de l’intégrité du micrologiciel en raison des limitations de la mesure du module de plateforme sécurisée (TPM)”.
Les failles du micrologiciel peuvent avoir de graves implications car elles peuvent être exploitées par un adversaire pour obtenir une persistance à long terme sur un appareil d’une manière qui peut survivre aux redémarrages et échapper aux protections de sécurité traditionnelles au niveau du système d’exploitation.
Les faiblesses de haute gravité identifiées par Binarly affectent les appareils HP EliteBook et concernent un cas de corruption de la mémoire dans le mode de gestion du système (SMM) du micrologiciel, permettant ainsi l’exécution de code arbitraire avec les privilèges les plus élevés –
- CVE-2022-23930 (Score CVSS : 8,2) – Débordement de tampon basé sur la pile
- CVE-2022-31640 (Score CVSS : 7,5) – Validation incorrecte des entrées
- CVE-2022-31641 (Score CVSS : 7,5) – Validation incorrecte des entrées
- CVE-2022-31644 (Score CVSS : 7,5) – Écriture hors limites
- CVE-2022-31645 (Score CVSS : 8,2) – Écriture hors limites
- CVE-2022-31646 (Score CVSS : 8,2) – Écriture hors limites
Trois des bogues (CVE-2022-23930, CVE-2022-31640 et CVE-2022-31641) ont été notifiés à HP en juillet 2021, les trois vulnérabilités restantes (CVE-2022-31644, CVE-2022-31645, et CVE-2022-31646) signalé en avril 2022.
Il convient de noter que CVE-2022-23930 est également l’une des 16 failles de sécurité qui ont été signalées plus tôt en février comme affectant plusieurs modèles d’entreprise de HP.
SMM, également appelé “Ring -2”, est un mode à usage spécial utilisé par le micrologiciel (c’est-à-dire UEFI) pour gérer des fonctions à l’échelle du système telles que la gestion de l’alimentation, les interruptions matérielles ou tout autre code propriétaire conçu par le fabricant d’équipement d’origine (OEM). .
Les lacunes identifiées dans le composant SMM peuvent donc agir comme un vecteur d’attaque lucratif pour les acteurs de la menace pour effectuer des activités néfastes avec des privilèges plus élevés que ceux du système d’exploitation.
Bien que HP ait publié mises à jour à adresse la défauts en mars et août, le fournisseur n’a pas encore mis en place les correctifs pour tous les modèles concernés, exposant potentiellement les clients au risque de cyberattaques.
“Dans de nombreux cas, le micrologiciel est un point de défaillance unique entre toutes les couches de la chaîne d’approvisionnement et l’appareil client du point de terminaison”, Binarly a ditajoutant que “réparer les vulnérabilités d’un seul fournisseur ne suffit pas”.
“En raison de la complexité de la chaîne d’approvisionnement des micrologiciels, il existe des lacunes difficiles à combler du côté de la fabrication, car cela implique des problèmes indépendants de la volonté des fournisseurs d’appareils.”
La divulgation arrive également alors que le fabricant de PC a déployé la semaine dernière des correctifs pour une faille d’escalade de privilèges (CVE-2022-38395, score CVSS : 8,2) dans son logiciel de dépannage Support Assistant.
“Il est possible pour un attaquant d’exploiter la vulnérabilité de piratage de DLL et d’élever les privilèges lorsque Fusion lance HP Performance Tune-up”, a déclaré la société. c’est noté dans un avis.



