ליקוי אבטחה חמור התגלה בכלי HP

HP תיקנה ליקוי אבטחה שימנע שימוש לא תקין בהרשאות באפליקציה המותקנת במכשיריה בעת הייצור שלהם, בטרם הם נשלחים לשוק.

הבאג, ש"זכה" לקבל ב-CVSSv3.1 – סולם דרגת החומרה – את הציון 8.2, עלול היה לאפשר לתוקפים בסייבר יכולות גדולות יותר במערכת של הקורבן, מה שמציב בפניו אפשרות למתקפות מזיקות יותר. בתרחיש זה, ציינו מומחי אבטחה, "ניתן להשיג הרשאות ברמת המערכת, וכך להזריק לקורבנות שלל נוזקות ותולעים, במגוון דרכי תקיפה, לטובת ריגול, או השגת אישורי גישה".

הערכה ראשונית לגבי חומרת הפגיעות העלתה כי הבאג נמצא באופן מיוחד ברכיב Fusion, המשמש להפעלת HP Performance Tune-up, כלי אבחון שנמצא ב-HP Support Assistant. במסגרת פגיעות זו, מסרה HP, ניתן "לחטוף" את ספריית הקישורים הדינמית, DLL, שניתן לנצל ב-Fusion לקבלת שפע הרשאות למי שאינם מורשים אליהן.

הפגיעות זכתה לכינוי CVE-2022-38395. ככל הפגיעויות מסוג זה, הן מנצלות את הדרך שבה מערכות Windows מחפשות וטוענות קבצי DLL.

האקרים יכולים למקם קובץ DLL משלהם באותו מיקום בו נמצא הקובץ הלגיטימי. לאחר מכן, החלק הפגיע של התוכנה "יחפש" במקום הרגיל את ה-DLL, שהוא צריך כדי לבצע פעולה נתונה, וכך הוא יפעיל את הנוזקה שבקובץ שהוחדר. אז, ההאקרים יכולים לפעול באמצעות אותן הרשאות שניתנו לחלק הפגיע של תוכנית התמיכה של HP.

הבאג שנמצא ב-HP Support Assistant – מותקן במפעל שבו מיוצרים המחשבים הנייחים והמחשבים הניידים החדשים של HP, וניתן להתקין אותו גם במכשירים של יצרנים אחרים, או כדי לגשת למכשירים אחרים, למשל מדפסות HP.