Tien kwetsbaarheden gevonden in de HP Support Assistant
CVSS 3.0 Base Metrics calculated by HP
-
CVE-2019-18919: 7.3
-
CVE-2019-18920: 5.6
Bronnen
https://support.hp.com/us-en/document/c06609927
Risico’s
Een aanvaller zou de kwetsbaarheden op meerdere manieren kunnen uitbuiten, onder andere:
- Willekeurige bestanden verwijderen.
- Mogelijks verhogen van de privileges van de gebruiker waardoor de aanvaller meer rechten heeft op het systeem.
- Aanvallers op afstand kunnen code uitvoeren op het systeem van de gebruiker.
Beschrijving
De software is standaard geïnstalleerd op alle HP machines die na 2012 werden verkocht en waarop Windows 7, Windows 8(.1) of Windows 10 besturingssystemen draaien.
De meeste van deze kwetsbaarheden werden bekend gemaakt op 5 oktober 2019, waarop HP in actie kwam en een patch uitbracht op 19 december. Hierna waren er echter nog steeds openstaande kwetsbaarheden en op 6 januari 2020 werd er een tweede melding verstuurd naar HP.
Een patch werd uiteindelijk op 1 april vrijgegeven, waarmee de privilege escalation en de willekeurige verwijdering van bestanden in de software opgelost zouden zijn.
Gebruikers lopen nog steeds risico op drie lokale privilege escalation kwetsbaarheden. De onderzoeker die de fouten heeft onthuld, zegt dat deze alleen kunnen worden uitgebuit nadat een aanvaller reeds toegang tot uw systeem heeft verkregen, waardoor het risico kleiner is.
Mogelijkheden om uw machine te beschermen
- Automatische updates voor HP Support Assistent inschakelen.
- Update naar de laatste versie, hoewel er nog steeds drie lokale privilege-escalatieproblemen zijn.
- Verwijder de software volledig tot de volgende patch wordt uitgebracht indien het risico voor uw omgeving te groot is.
Voor deze kwetsbaarheden bestaat een proof-of-concept die op deze blog te raadplegen is.
Aanbevolen acties
Het HP Product Security Response Team heeft een advies uitgebracht voor deze kwetsbaarheden.
CERT.be raadt aan de patch zo snel mogelijk toe te passen en automatische updates in te schakelen om het risico op exploitatie te verminderen.