DIX VULNÉRABILITÉS DÉCOUVERTES POUR LE SUPPORT ASSISTANT D’HP
CVSS 3.0 Base Metrics calculated by HP
-
CVE-2019-18919: 7.3
-
CVE-2019-18920: 5.6
Sources
https://support.hp.com/us-en/document/c06609927
Risques
Un acteur malveillant pourrait exploiter ces vulnérabilités de plusieurs manières, notamment:
- Suppression arbitraire de fichiers.
- Escalade potentielle de privilèges.
- Exécution de code malveillant à distance.
Description
Le logiciel support assistant est préinstallé sur toutes les machines HP vendues après 2012 qui utilisent les systèmes d'exploitation Windows 7, Windows 8 (.1) ou Windows 10.
La majorité de ces vulnérabilités ont été révélées le 5 octobre 2019. HP a agi en conséquence et publié un correctif en décembre 2019. Cependant, il y avait encore des vulnérabilités non corrigées après cette date et un deuxième rapport a été envoyé à HP le 6 janvier 2020.
Le correctif a finalement été publié le 1er avril 2020, ce qui devrait corriger l'escalade de privilèges et les vulnérabilités de suppression de fichiers arbitraires.
Bien que les utilisateurs soient toujours exposés à trois vulnérabilités locales d'élévation de privilèges, le chercheur qui a révélé ces failles affirme qu'elles ne peuvent être exploitées qu'après la compromission de votre système par un acteur malveillant, ce qui réduit le risque en lui-même.
Bonnes pratiques
- Activer les mises à jour automatiques pour HP Support Assistant.
- Installez la dernière version, bien qu'il y ait encore trois bugs locaux d'élévation de privilèges.
- Désinstallez le logiciel entièrement jusqu'à la publication du prochain patch, si le risque est trop élevé pour votre environnement.
Une preuve de concept existe pour ces vulnérabilités qui peuvent être trouvées sur ce blog.
Actions recommandées
L'équipe HP Product Security Response a publié un avis concernant ces vulnérabilités.
CERT.be recommande d'appliquer le patch dès que possible et d'activer les mises à jour automatiques par défaut pour réduire les risques d'exploitation.