Firmware-Fehler in vielen HP-Computermodellen, die über ein Jahr lang nicht behoben wurden

Firmware-Fehler in vielen HP-Computermodellen, die über ein Jahr lang nicht behoben wurden

Spread the love

Eine Reihe von sechs schwerwiegenden Firmware-Sicherheitslücken, die sich auf eine breite Palette von HP-Geräten auswirken, die in Unternehmensumgebungen verwendet werden, warten immer noch darauf, gepatcht zu werden, obwohl einige von ihnen seit Juli 2021 öffentlich bekannt wurden.

Firmware-Fehler sind besonders gefährlich, da sie zu Malware-Infektionen führen können, die auch zwischen Betriebssystem-Neuinstallationen bestehen bleiben, oder langfristige Kompromittierungen ermöglichen, die Standard-Sicherheitstools nicht auslösen würden.

Wie Binarly in dem Bericht hervorhebt, hat der Anbieter, obwohl es einen Monat her ist, seit er einige der Fehler auf der Black Hat 2022 veröffentlicht hat, keine Sicherheitsupdates für alle betroffenen Modelle veröffentlicht, wodurch viele Kunden Angriffen ausgesetzt sind.

Die Forscher meldeten HP drei Fehler im Juli 2021 und die anderen drei im April 2022, sodass der Anbieter zwischen vier Monaten und mehr als einem ganzen Jahr Zeit hatte, Updates für alle betroffenen Geräte zu veröffentlichen.

Details zur Schwachstelle

Die Fehler, die das Sicherheitsforschungsteam von Binarly kürzlich entdeckt hat, sind alle SMM (System Management Module)-Speicherbeschädigungsprobleme, die zur Ausführung willkürlichen Codes führen.

SMM ist Teil der UEFI-Firmware, die systemweite Funktionen wie Low-Level-Hardwaresteuerung und Energieverwaltung bereitstellt.

Die Privilegien des SMM-Subsystems (Ring -2) übersteigen die des Betriebssystemkerns (Ring 0), sodass Fehler, die sich auf das SMM auswirken, Sicherheitsfunktionen wie Secure Boot ungültig machen, unsichtbare Hintertüren (für das Opfer) erstellen und Eindringlingen ermöglichen können dauerhafte Malware-Implantate zu installieren.

Die sechs Fehler, die laut Binarly HP monatelang nicht gepatcht hat, sind:

  • CVE-2022-23930 – Stapelbasierter Pufferüberlauf, der zur Ausführung willkürlichen Codes führt. (CVSS v3-Bewertung: 8,2 „Hoch“)
  • CVE-2022-31644 – Out-of-bounds-Schreiben auf CommBuffer, wodurch eine teilweise Umgehung der Validierung ermöglicht wird. (CVSS v3-Bewertung: 7,5 „Hoch“)
  • CVE-2022-31645 – Out-of-bounds-Schreiben auf CommBuffer, basierend darauf, dass die Größe des an den SMI-Handler gesendeten Zeigers nicht überprüft wird. (CVSS v3-Bewertung: 8,2 „Hoch“)
  • CVE-2022-31646 – Out-of-bounds-Schreibvorgänge basierend auf API-Funktionalität zur direkten Speichermanipulation, was zu Privilegienerweiterung und Ausführung willkürlichen Codes führt. (CVSS v3-Bewertung: 8,2 „Hoch“)
  • CVE-2022-31640 – Unsachgemäße Eingabevalidierung, die Angreifern die Kontrolle über die CommBuffer-Daten gibt und den Weg für uneingeschränkte Änderungen öffnet. (CVSS v3-Bewertung: 7,5 „Hoch“)
  • CVE-2022-31641 – Callout-Schwachstelle im SMI-Handler, die zur Ausführung willkürlichen Codes führt. (CVSS v3-Bewertung: 7,5 „Hoch“)
Auslösen von Speicherbeschädigung in SMM (CVE-2022-31645)
Auslösen von Speicherbeschädigung in SMM (CVE-2022-31645) (binär)

Sicherheitslücken beheben den Status

HP hat drei Sicherheitshinweise veröffentlicht, in denen die erwähnten Schwachstellen anerkannt werden, zusammen mit einer gleichen Anzahl von BIOS-Updates, die die Probleme für einige der betroffenen Modelle beheben.

CVE-2022-23930 wurde im März 2022 auf allen betroffenen Systemen behoben, mit Ausnahme von Thin-Client-PCs (Details finden Sie in der Empfehlung).

CVE-2022-31644, CVE-2022-31645 und CVE-2022-31646 haben am 9. August 2022 Sicherheitsupdates erhalten.

Viele Business-Notebooks (Elite, Zbook, ProBook), Business-Desktop-PCs (ProDesk, EliteDesk, ProOne), Point-of-Sale-Systeme und auch HP-Workstations (Z1, Z2, Z4, Zcentral) haben jedoch noch keine Patches erhalten (check Beratung für Details).

CVE-2022-31640 und CVE-2022-31641 erhielten den ganzen August über Fixes, wobei das letzte Update am 7. September 2022 landete, aber viele HP-Workstations bleiben ohne einen offiziellen Fix exponiert (Einzelheiten finden Sie in der Empfehlung).

Wie Binarly kommentiert, ist die Behebung von Firmware-Fehlern für einen einzelnen Anbieter aufgrund der Komplexität der Firmware-Lieferkette eine große Herausforderung, so dass viele HP-Kunden das Risiko akzeptieren und ihre physischen Sicherheitsmaßnahmen verstärken müssen.

BleepingComputer hat HP um einen Kommentar gebeten, wann die Sicherheitsupdates für die restlichen betroffenen Modelle voraussichtlich veröffentlicht werden, und wir werden diesen Beitrag aktualisieren, sobald wir eine Antwort erhalten.

Update 11.09.12 11:19 Uhr EST: In diesem Artikel wurde fälschlicherweise angegeben, dass es sich um Schwachstellen von HPE handelt. Geändert, um sie korrekt als HP-Bugs zu bezeichnen.

Leave a Comment

Your email address will not be published.