A l'occasion de la dernière conférence Black Hat 2022, le fournisseur de sécurité Binarly est revenu sur plusieurs failles identifiées et remontées depuis des mois à HP à son équipe PSIRT (HPSBHF03806) mais qui n'ont toujours pas été corrigées. Plus tôt cette année, le fournisseur de solutions de sécurité a en effet divulgué 16 vulnérabilités affectant un grand nombre de matériels du constructeur américain (PC portables, PC fixes, stations de travail...). 6 ont été qualifiées de très graves, affectant de nombreux matériels du constructeur, pouvant déboucher sur des risques d'exécution de code arbitraire via de la corruption mémoire au niveau de la gestion du système (SMM) du micrologiciel. Avec à la clé la possibilité de lancer attaques persistantes incluant l'installation d'implants malveilalnts à différents niveaux du firmware. « L'impact du ciblage de pilotes ou d'applications d'exécution DXE non SMM non privilégiés par un acteur malveillant est souvent sous-estimé », précise Binarly. « Ce type de pilote DXE malveillant peut contourner le démarrage sécurisé et s'en prendre à d'autres étapes de démarrage ».

Dans un dernier rapport, Binarly s'est penchée sur les 6 vulnérabilités suivantes :

- CVE-2022-23930 : débordement de tampon basé sur la pile conduisant à l'exécution de code arbitraire. (Score CVSS v3 : 8,2 « Élevé ») ;

- CVE-2022-31644 : écriture hors limites sur CommBuffer, permettant une correspondance de validation partielle. (Score CVSS v3 : 7,5 « Élevé ») ;

- CVE-2022-31645 : écriture hors limites sur CommBuffer basée sur la non-vérification de la taille du pointeur envoyé au gestionnaire SMI. (Score CVSS v3 : 8,2 « Élevé ») ;

- CVE-2022-31646 : écriture hors limites basée sur la fonctionnalité d'API de manipulation directe de la mémoire, entraînant une élévation des privilèges et l'exécution de code arbitraire. (Score CVSS v3 : 8,2 « Élevé ») ;

- CVE-2022-31640 : validation d'entrée incorrecte donnant aux attaquants le contrôle des données CommBuffer et ouvrant la voie à des modifications illimitées. (Score CVSS v3 : 7,5 « Élevé »)

- CVE-2022-31641 : vulnérabilité d'appel dans le gestionnaire SMI conduisant à l'exécution de code arbitraire. (Score CVSS v3 : 7,5 « Élevé »).

Des mises à jour qui se font encore attendre

Si HP a depuis réagi et publié de nombreux correctifs depuis mars 2022, Binarly explique que de nombreux matériels incluant de nombreux ordinateurs portables professionnels (Elite, Zbook, ProBook), PC de bureau professionnels (ProDesk, EliteDesk, ProOne), systèmes de point de vente, ainsi que des stations de travail (Z1, Z2, Z4, Zcentral) n'ont toujours pas encore reçu de correctifs. Cela concerne encore une cinquantaine de stations de travail (Z2 Mini G5, Z2 Tower G5, HP Z840...), plus de 90 modèles de PC pro desktop (EliteDesk 705 G4 Desktop Mini PC, ProDesk 400 G6 Microtower PC, ProOne 400 G5 23.8...) et 7 systèmes de points de ventes. C'est parmi la gamme PC pro portables que l'on trouve le plus de modèles - une trentaine sur 150 - ayant déjà reçu des correctifs pour les failles identifiées par Binarly. Parmi ceux qui n'ont pas encore reçu les « SoftPaq » de HP, on retrouve des Elite Dragonfly G2, EliteBook 865, ProBook 430 G5, ZBook Firefly 14 G7...

« Malheureusement, au moment de la rédaction de cet article, certains terminaux d'entreprise HP (ordinateurs portables et ordinateurs de bureau) n'ont toujours pas reçu de mises à jour pour corriger les vulnérabilités susmentionnées, bien qu'elles aient été divulguées publiquement depuis plus d'un mois », alerte Binarly. Selon la société, près de 20 % des mises à jour de micrologiciels contiennent encore au moins deux ou trois vulnérabilités connues et précédemment divulguées.