Firmware: Etliche HP-Rechner mit Sicherheitslücken, aber ohne Patches

Auf der Black-Hat-Konferenz haben Forscher der Sicherheitsfirma Binarly vor rund einem Monat mehrere Sicherheitslücken in Businessrechnern von HP veröffentlicht. Gemeldet haben die Sicherheitsforscher diese und weitere Lücken teils vor über einem Jahr an HP. Gepatcht wurde jedoch nur ein Teil der betroffenen Geräte. Nun haben die Sicherheitsforscher einen Bericht und weitere Lücken veröffentlicht. Zuerst berichtete das Onlinemagazin Bleepingcomputer.

Drei Fehler meldeten die Forscher bereits im Juli 2021, drei weitere im April 2022. HP hatte also zwischen vier Monaten und mehr als einem Jahr Zeit, die Sicherheitslücken zu beheben und Updates für die betroffenen Geräte bereitzustellen.

Bei den Sicherheitslücken handelt es im Speicherkorruptionsprobleme im System Management Module (SMM), die zur Ausführung von beliebigem Code führen können. Da die Privilegien des SMM-Subsystems (Ring -2) die des Betriebssystems (Ring 0) übersteigen, können sie beispielsweise dazu genutzt werden, um Sicherheitsfunktionen wie Secure Boot auszuschalten oder dauerhafte Hintertüren einzubauen, die nur schwer zu entdecken sind.

Patches nur für einen Teil der betroffenen Geräte

Die Lücke CVE-2022-23930 hat HP im März 2022 auf allen betroffenen Systemen bis auf Thin Clients geschlossen. Für drei Sicherheitslücken (CVE-2022-31644, CVE-2022-31645, CVE-2022-31646) wurden zwar am 9. August 2022 Patches veröffentlicht, doch viele Business-Notebooks (Elite, Zbook, Probook), Business-Desktop-PCs (Prodesk, Elitedesk, Proone) und etliche weitere Geräte haben laut dem Advisory von HP noch keine Updates erhalten.

Patches für zwei weitere Sicherheitslücken (CVE-2022-31640, CVE-2022-31641) wurden im August 2022 veröffentlicht, wobei das letzte Update vom 7. September stammt. Etliche HP-Workstations haben aber auch hier noch kein Update erhalten.

Die sechs Sicherheitslücken:

• CVE-2022-23930 - Stack-basierter Pufferüberlauf, der die Ausführung von beliebigem Code ermöglicht.
• CVE-2022-31644 - Out-of-bounds write auf CommBuffer, der teilweise eine Umgehung der Validierung ermöglicht.
• CVE-2022-31645 - Out-of-bounds write auf CommBuffer, da die Größe des Zeigers, der an den SMI-Handler gesendet wird, nicht überprüft wird.
• CVE-2022-31646 - Out-of-bounds write basierend auf direkter Speichermanipulations-API-Funktionalität, was zur Erhöhung der Privilegien und zur Ausführung von beliebigem Code führt.
• CVE-2022-31640 - Unsachgemäße Eingabevalidierung, die Angreifern die Kontrolle über die CommBuffer-Daten ermöglicht und den Weg für unbeschränkte Änderungen öffnet.
• CVE-2022-31641 - Callout-Schwachstelle im SMI-Handler, die die Ausführung von beliebigem Code ermöglicht.