Le logiciel support assistant est préinstallé sur toutes les machines HP vendues après 2012 qui utilisent les systèmes d'exploitation Windows 7, Windows 8 (.1) ou Windows 10.

La majorité de ces vulnérabilités ont été révélées le 5 octobre 2019. HP a agi en conséquence et publié un correctif en décembre 2019. Cependant, il y avait encore des vulnérabilités non corrigées après cette date et un deuxième rapport a été envoyé à HP le 6 janvier 2020.

Le correctif a finalement été publié le 1er avril 2020, ce qui devrait corriger l'escalade de privilèges et les vulnérabilités de suppression de fichiers arbitraires.

Bien que les utilisateurs soient toujours exposés à trois vulnérabilités locales d'élévation de privilèges, le chercheur qui a révélé ces failles affirme qu'elles ne peuvent être exploitées qu'après la compromission de votre système par un acteur malveillant, ce qui réduit le risque en lui-même.

Bonnes pratiques

• Activer les mises à jour automatiques pour HP Support Assistant.
• Installez la dernière version, bien qu'il y ait encore trois bugs locaux d'élévation de privilèges.
• Désinstallez le logiciel entièrement jusqu'à la publication du prochain patch, si le risque est trop élevé pour votre environnement.

Une preuve de concept existe pour ces vulnérabilités qui peuvent être trouvées sur ce blog.