Un certain nombre de failles de sécurité du micrologiciel découvertes dans les ordinateurs portables haut de gamme de HP, destinés aux entreprises, ne sont toujours pas corrigées dans certains appareils, même plusieurs mois après leur divulgation.
Les failles dans les microprogrammes peuvent avoir de graves conséquences, car elles peuvent être exploitées par un adversaire pour obtenir une persistance à long terme sur un appareil, de manière à survivre aux redémarrages et à échapper aux protections de sécurité traditionnelles au niveau du système d’exploitation.
Les faiblesses de haute sévérité identifiées par Binarly affectent les appareils HP EliteBook et concernent un cas de corruption de mémoire dans le mode de gestion du système du firmware, permettant ainsi l’exécution de code arbitraire avec les privilèges les plus élevés.
Il convient de noter que CVE-2022-23930 est également l’une des 16 failles de sécurité qui ont été signalées au début du mois de février comme ayant un impact sur plusieurs modèles d’entreprise de HP. SMM, également appelé « Ring -2 », est un mode spécial utilisé par le microprogramme pour gérer les fonctions du système telles que la gestion de l’alimentation, les interruptions matérielles ou d’autres codes propriétaires conçus par le fabricant de l’équipement d’origine.
« Dans de nombreux cas, les microprogrammes constituent un point de défaillance unique entre toutes les couches de la chaîne d’approvisionnement et l’appareil du client final », a déclaré M. Binarly, ajoutant que « corriger les vulnérabilités d’un seul fournisseur n’est pas suffisant ».
« En raison de la complexité de la chaîne d’approvisionnement en microprogrammes, il est difficile de combler les lacunes au niveau de la fabrication, car il s’agit de questions qui échappent au contrôle des fournisseurs d’appareils.