En bref : Possédez-vous un ordinateur portable, un ordinateur de bureau ou un PC PoS HP ? Ensuite, vous voudrez peut-être vous assurer que son BIOS est à jour. La société vient de publier des mises à jour pour plus de 200 modèles d’appareils qui corrigent deux vulnérabilités très graves dans le micrologiciel UEFI.
Comme indiqué par Bleeping Computer, HP a émis un avis sur les vulnérabilités de sécurité potentielles qui pourraient permettre l’exécution de code arbitraire avec les privilèges du noyau, ce qui permettrait aux pirates d’accéder au BIOS d’un appareil et de planter des logiciels malveillants qui ne peuvent pas être supprimés par un logiciel antivirus traditionnel ou réinstallés. le système d’exploitation.
Les deux vulnérabilités – CVE-2021-3808 et CVE-2021-3809 – ont un score de base CVSS 3.1 de haute gravité de 8,8.
HP n’a révélé aucun détail technique sur les vulnérabilités. Cela a été laissé au chercheur en sécurité Nicholas Starke, qui les a découverts mais n’a pas été crédité par HP bien qu’on lui ait dit qu’ils le seraient.
Je travaille sur une vulnérabilité depuis six mois et l’avis vient d’être rendu public hier. Je n’ai été crédité nulle part, bien qu’on m’ait dit @HP que je serais crédité. Voici mon article de blog avec les détails techniques : https://t.co/RzmXbLeN5Z (PSR-2021-0177 est le mien)
– Nicolas starke (@nstarke) 11 mai 2022
« Cette vulnérabilité pourrait permettre à un attaquant s’exécutant avec des privilèges au niveau du noyau (CPL == 0) d’élever les privilèges au mode de gestion du système (SMM) », a écrit Starke. « L’exécution dans SMM donne à un attaquant tous les privilèges sur l’hôte pour mener à bien des attaques. »
Starke a ajouté qu’il existe des atténuations dans certains modèles HP qui devraient être contournées pour que les vulnérabilités fonctionnent, y compris le système HP Sure Start, qui détecte quand l’exécution du micrologiciel a été falsifiée.
La longue liste d’appareils affectés par les vulnérabilités comprend des ordinateurs portables professionnels tels que l’Elite Dragonfly et plusieurs EliteBooks et ProBooks ; les ordinateurs de bureau professionnels, y compris EliteDesk et EliteOne ; les PC de point de vente au détail comme Engage ; postes de travail de bureau (gammes Z1, Z2) ; et quatre PC clients légers.
Vous pouvez voir la liste complète des appareils HP concernés et les SoftPaqs correspondants ici. Tous n’ont pas encore reçu les patchs.