11 мая 2022 года HP выпустила рекомендуемые для установки обновления BIOS с устранением двух критических уязвимостей для многих клиентских устройств, включая премиальные и корпоративные ноутбуки, десктопы, моноблоки и тонкие клиенты. Всего HP выпустила обновления для BIOS по этой проблеме на 217 моделей продуктов.
Обновления BIOS закрывают в микропрограмме UEFI две критические уязвимости CVE-2021-3808 и CVE-2021-3809. Используя эти баги (HP не раскрыла их подробности) злоумышленники могут получить возможность выполнить запуск произвольного кода на пользовательских устройствах.
HP предупредила, что еще не на все свои продукты подготовила обновления BIOS по этим уязвимостям.
10 мая разработчик и ИБ-специалист Николас Старке рассказал об этих уязвимостях. Он обнаружил их в ноябре 2021 года и передал в HP всю информацию для их устранения. HP после масштабного выпуска обновления BIOS никак не упомянула исследователя в своих документах.
Старке рассказал, что уязвимости позволяют злоумышленнику на клиентских устройствах повысить привилегии с уровня ядра до режима управления системой (System Management Mode или SMM). Использование SMM дает злоумышленнику полный контроль над устройством для дальнейших атак.
В описании уязвимостей Старке привел несколько примеров доступа к SMM с помощью SMI-обработчика, запущенного из среды ОС под привилегиями root/SYSTEM. Он также проверил, что после обновления BIOS проблемы оказались устранены.
В апреле этого года Lenovo выпустила обновления для сотен моделей ноутбуков, в штатной прошивке ПО UEFI которых случайно попали заводские бэкдоры, причем они были на многих устройствах с 2016 года.
