Nivel de Criticidad: CRÍTICO

Se ha detectado la presencia de una serie de vulnerabilidades en HP Support Assistant, herramienta que tiene como objetivo ayudar al usuario a mantener el equipo actualizado y se encuentra preinstalada en los ordenadores comercializados por HP y que ejecutan los sistemas operativos Windows 10, Windows 8 y Windows 7. 

En cómputo, han sido detectadas un total de diez vulnerabilidades cuya explotación podría permitir a un atacante comprometer un sistema afectado por completo:

•     Cinco de ellas permiten escalada de privilegios locales.
•     Dos la eliminación de archivos arbitrarios.
•     Y las tres restantes, la ejecución de código de forma remota. 

HP Product Security Response Team (PSRT) ha emitido un parche que corrige siete de las vulnerabilidades detectadas, sin embargo, tres de las vulnerabilidades relativas a la escalada de privilegios locales no han sido corregidas aún por el fabricante. Estas vulnerabilidades suelen ser explotadas por los atacantes durante las últimas etapas de los ataques para conseguir elevar sus permisos y comprometer aún más el sistema afectado. 

De momento, tan solo dos de las vulnerabilidades han recibido identificador CVE, referenciadas como CVE-2019-18919, CVE-2019-18920. Si bien, ninguna de estas han sido registradas en la base de datos del NIST, por lo que no han recibido criticidad conforme a la escala CVSSv3. No obstante, han sido calificadas como críticas debido a que una correcta explotación de estas podrían permitir a un atacante comprometer un sistema por completo. En el aviso lanzado por HP, este ha otorgado a la vulnerabilidad CVE-2019-18919 una criticidad de 7.3 CVSSv3 y a la vulnerabilidad CVE-2019-18920 una criticidad de 5.6 CVSSv3.  Además, es importante tener en cuenta que la publicación realizada por el investigador de seguridad que ha reportado las vulnerabilidades a HP incluye Prueba de Concepto (PoC). 

Recursos afectados:

Las vulnerabilidades afectan a HP Support Assistant, instalado de forma predeterminada en todos los PC comercializados por HP con sistema operativo:

• Windows 10
• Windows 8
• Windows 7 

Solución a la vulnerabilidad:

Tal y como se indica anteriormente, HP ha lanzado una HP Support Assistant versión 8.8 para corregir las vulnerabilidades, a excepción de tres de ellas, las cuales siguen estando presentes en el software afectado.

Es importante tener en cuenta que HP Support Assistant no tiene actualizaciones automáticas de manera predeterminada, por lo que será necesario:

1. Desinstalar el software e instalar la última versión disponible desde el sitio web de HP:
   • https://www8.hp.com/us/en/campaigns/hpsupportassistant/hpsupport.html
2. Obtener la actualización a partir del propio software:
•     Abrir “HP Support Assistant” en el menú de inicio.
•     Hacer clic en “Acerca de” situado en la esquina superior derecha.
•     Presionar “Buscar última versión”. 

Recomendaciones

El CERT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Dado que la actualización no corrige tres de las vulnerabilidades detectadas, en caso de poder prescindir del software se recomienda su desinstalación. Esto puede realizarse a través del componente “Agregar o quitar programas” disponible en el panel de control de Windows y desinstalar los softwares denominados HP Support Assistant y HP Support Solutions Framework. 

Referencias:

• d4stiny.github.io
• support.hp.com