Durante la conferenza Black Hat 2022 sono stati illustrati i dettagli di sei vulnerabilità presenti nei firmware di alcuni dispositivi business di HP. Nonostante alcune di esse siano state segnalate oltre un anno fa, il produttore statunitense non ha ancora rilasciato le patch per tutti i modelli interessati. Per cercare di bloccare i malware che sfruttano questo tipo di bug è consigliata l’installazione di una soluzione di sicurezza.
Patch rilasciate in ritardo
Le sei vulnerabilità sono state scoperte dagli esperti di Binarly. Tutti i bug riguardano il System Management Module del firmware UEFI. A causa della corruzione della memoria del SMM, i malintenzionati potrebbero eseguire codice arbitrario con privilegi elevati. Un eventuale malware rimarrebbe a lungo sul dispositivo, anche dopo la reinstallazione del sistema operativo, in quanto non rilevabile facilmente dalle soluzioni di sicurezza.
Tre vulnerabilità, ovvero CVE-2022-23930, CVE-2022-31640 e CVE-2022-31641, sono state segnalate ad HP il 12 luglio 2021. Le altre tre, ovvero CVE-2022-31644, CVE-2022-31645 e CVE-2022-31646, sono state segnalate il 12 aprile 2022. La patch sono state rilasciate tra marzo e agosto 2022.
Tuttavia, le patch più recenti non sono ancora disponibili per tutti i prodotti interessati (notebook, PC desktop e workstation). Le aziende dovrebbero prestare molta attenzione ai possibili rischi. In attesa dei fix ufficiali sarebbe meglio rafforzare le misure di sicurezza o utilizzare altri dispositivi di HP (o altri produttori).