HP выпустила обновления BIOS с устранением двух критических уязвимостей для многих клиентских устройств


11 мая 2022 года HP
Please, Log in or Register to view URLs content!
рекомендуемые для установки обновления BIOS с устранением двух критических уязвимостей для многих клиентских устройств, включая премиальные и корпоративные ноутбуки, десктопы, моноблоки и тонкие клиенты. Всего HP выпустила обновления для BIOS по этой проблеме на 217 моделей продуктов.
Обновления BIOS закрывают в микропрограмме UEFI две критические уязвимости
Please, Log in or Register to view URLs content!
и
Please, Log in or Register to view URLs content!
. Используя эти баги (HP не раскрыла их подробности) злоумышленники могут получить возможность выполнить запуск произвольного кода на пользовательских устройствах.

HP предупредила, что еще не на все свои продукты подготовила обновления BIOS по этим уязвимостям.

10 мая разработчик и ИБ-специалист Николас Старке
Please, Log in or Register to view URLs content!
об этих уязвимостях. Он обнаружил их в ноябре 2021 года и передал в HP всю информацию для их устранения. HP после масштабного выпуска обновления BIOS никак не упомянула исследователя в своих документах.

Старке рассказал, что уязвимости позволяют злоумышленнику на клиентских устройствах повысить привилегии с уровня ядра до режима управления системой (System Management Mode или SMM). Использование SMM дает злоумышленнику полный контроль над устройством для дальнейших атак.

В описании уязвимостей Старке привел несколько примеров доступа к SMM с помощью SMI-обработчика, запущенного из среды ОС под привилегиями root/SYSTEM. Он также проверил, что после обновления BIOS проблемы оказались устранены.

В апреле этого года Lenovo
Please, Log in or Register to view URLs content!
обновления для сотен моделей ноутбуков, в штатной прошивке ПО UEFI которых случайно попали заводские бэкдоры, причем они были на многих устройствах с 2016 года.