Computadoras con Windows expuestas debido a vulnerabilidades críticas de HP
Varias vulnerabilidades críticas del Support Assistant (asistente de soporte) de HP exponen las computadoras con Windows a ataques de ejecución remota de código. Las vulnerabilidades podrían permitir a los atacantes elevar sus privilegios o eliminar archivos arbitrarios después de una explotación exitosa.
HP Support Assistant, comercializado por HP como una “herramienta de autoayuda gratuita”, está preinstalado en los nuevos equipos de escritorio y portátiles de HP. Está diseñado para ofrecer soporte, actualizaciones y reparaciones automatizadas a las PC e impresoras de HP.
“Mejora el rendimiento y la confiabilidad de tus PC´s e impresoras con actualizaciones automáticas de firmware y controladores”, afirma HP. “Puedes configurar tus opciones para instalar actualizaciones automáticamente o para notificarte cuándo hay actualizaciones disponibles”.
Las computadoras HP vendidas después de octubre de 2012 y que ejecutan los sistemas operativos Windows 7, Windows 8 o Windows 10 vienen con HP Support Assistant instalado de manera predeterminada.
Algunas fallas críticas parcheadas, otras no tanto
El investigador de seguridad Bill Demirkapi encontró diez vulnerabilidades diferentes dentro del software HP Support Assistant. Entre estas estaban incluidas cinco fallas locales de escalada de privilegios. También dos vulnerabilidades arbitrarias de eliminación de archivos y tres vulnerabilidades de ejecución remota de código.
HP parchó parcialmente las vulnerabilidades en diciembre de 2019 después de recibir un informe de divulgación inicial de Demirkapi durante octubre de 2019.
Se emitió otro parche en marzo de 2020 después de que el investigador envió un informe actualizado en enero. Esto para corregir una de las vulnerabilidades que no se habían tocado anteriormente y para corregir una recién presentada.
Sin embargo, HP no pudo reparar tres de las vulnerabilidades de escalada de privilegios locales. Esto significa que incluso si estás utilizando la última versión de HP Support Assistant, aún estás expuesto a ataques.
Este tipo de vulnerabilidad es comúnmente explotada por actores maliciosos durante las etapas posteriores de sus ataques para elevar los permisos y establecer la persistencia. Esto les permite comprometer aún más las máquinas objetivo después de que la máquina objetivo se infiltró.
“Es importante saber que HP no ha parcheado tres vulnerabilidades de escalada de privilegios locales. Esto significa que incluso si tienes la última versión del software, aún eres vulnerable a menos que elimines por completo el agente de tu máquina”. Esto según explicó Demirkapi en su detallada descripción técnica.
Medidas de mitigación
Para mitigar plenamente todas las vulnerabilidades encontradas, tendráa que desinstalar el software vulnerable. Esto mediante la eliminación tanto de HP Support Assistant y HP Support Solutions Framework de tu equipo.
Si quieres mantener actualizado el software de tus dispositivos, debes saber que HP Support Assistant requiere que habilites las actualizaciones automáticas de forma predeterminada.
Si no tienes habilitadas las actualizaciones automáticas o no deseas activarlas, tendrás que actualizar manualmente la aplicación. Para ello debes buscar la última versión o instalar la última versión descargándola del sitio web de soporte de HP.
Los detalles completos sobre el proceso de descubrimiento y los métodos de explotación para cada una de las vulnerabilidades descubiertas por Demirkapi están disponibles en esta extensa descripción.
A continuación, verás demostraciones de video de exploits de prueba de concepto. El primer video es para una variante de ejecución de código remoto y el segundo para una falla de escalada de privilegios locales.