惠普笔记本UEFI固件存在多个高危漏洞，曝光数月后仍未修复

此前，惠普高端笔记本电脑曝光了多个固件安全漏洞，在公开披露数月后，目前惠普公司仍然没有对漏洞进行修复。

在2022年8月的 Black Hat USA 会议上，安全研究人员首次披露了惠普固件漏洞的细节，并表示由于受信任的平台模块 (TPM) 测量的限制，固件完整性监控系统无法检测到这些漏洞。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，固件漏洞的影响非常严重且深远，因为固件漏洞一旦被利用，攻击者就可以在设备上实现长期持久化，从可以在重新启动后幸免于难并逃避传统的操作系统级安全保护。

安全研究人员发现的高危漏洞主要影响惠普 EliteBook 设备，并涉及固件的系统管理模式 (SMM) 中的内存损坏情况，从而能够以最高权限执行任意代码：

• CVE-2022-23930（CVSS 评分：8.2）- 基于堆栈的缓冲区溢出；
• CVE-2022-31640（CVSS 评分：7.5）- 输入验证不正确；
• CVE-2022-31641（CVSS 评分：7.5）- 输入验证不正确；
• CVE-2022-31644（CVSS 评分：7.5）- 越界写入；
• CVE-2022-31645（CVSS 评分：8.2）- 越界写入；
• CVE-2022-31646（CVSS 评分：8.2）- 越界写入；

其中3个漏洞（CVE-2022-23930、CVE-2022-31640 和 CVE-2022-31641）已于 2021 年 7 月通知惠普公司，其余3个漏洞（CVE-2022-31644、CVE-2022-31645、和 CVE-2022-31646）则是于 2022 年 4 月报告给惠普公司。

SMM系统管理模式，也称为 Ring-2，是固件（即UEFI）使用的一种专用模式，用于处理系统范围的功能，例如电源管理、硬件中断或其他专有原始设备制造商 (OEM) 设计的代码。

因此，SMM 组件中发现的漏洞可以作为一个非常有效的攻击媒介，让攻击者以比操作系统更高的权限执行恶意代码。

由于固件供应链的复杂性，制造端存在难以弥补的差距，因为它涉及设备供应商无法控制的问题。