Sicherheitsforscher von Binarly warnen vor sechs Sicherheitslücken in HP-Computern, die vor allem im geschäftlichen Bereich zum Einsatz kommen. Sie geben an, drei Lücken bereits vor über einem Jahr an den Hersteller gemeldet zu haben. Bislang wurden noch nicht alle Modelle mit Patches versorgt.
Die Position der Angreifer in der Firmware ist besonders gefährlich, da sie so Schadcode vor dem Windows-Start verankern können. Das heißt, dass Sicherheitsmechanismen von Windows ins Leere laufen, da der Code bereits vor dem Systemstart läuft. Außerdem könnten Angreifer so Secure Boot umgehen oder sich mit Hintertüren dauerhaft auf PCs einnisten.
Quelle: heise
Firmware mit Schadcode verseucht
In einem Beitrag geben die Forscher an, dass es sich um UEFI-Firmware-Lücken im System Management Module (SMM) handelt. Alle sechs Lücken sind mit dem Bedrohungsgrad "hoch" eingestuft und Angreifer könnten darüber Schadcode auf Systeme schieben und ausführen. Wie Attacken im Detail ablaufen könnten, ist bislang nicht bekannt. Angreifer sollen auf nicht näher beschriebenen Wegen Speicherfehler auslösen können, um ihren eigenen Code im Speicher platzieren zu können.Die Position der Angreifer in der Firmware ist besonders gefährlich, da sie so Schadcode vor dem Windows-Start verankern können. Das heißt, dass Sicherheitsmechanismen von Windows ins Leere laufen, da der Code bereits vor dem Systemstart läuft. Außerdem könnten Angreifer so Secure Boot umgehen oder sich mit Hintertüren dauerhaft auf PCs einnisten.
Noch nicht alle Updates sind da
HP hat im März 2022 eine Lücke (CVE-2022-23930) in allen betroffenen Systemen geschlossen. Für drei weitere Schwachstellen (CVE-2022-31644, CVE-2022-31645, CVE-2022-31646) gibt es seit August Sicherheitspatches, aber nicht für alle Geräte, die verwundbar sind. Das ist auch bei den Patches für weitere Schwachstellen(CVE-2022-31640, CVE-2022-31641) der Fall. Beispielsweise sind noch viele ProBook-, ProOne-, Zcentral-Modelle angreifbar. Wann die Patches erscheinen, ist bislang unbekannt. Die Antwort auf eine Anfrage von heise Security steht noch aus.Quelle: heise