Dic13201713 Dicembre 201713 Dicembre 20170Commentidi Ermanno Goletto

HP ProBook 450 G4 aggiornamento firmware e correzione della vulnerabilità Intel-SA-00086

Pubblicato in IT, Security, Tips

Come avevo descritto nel post Vulnerabilità nell’Intel Management Engine (Intel-SA 00086) una delle attività più urgenti da espletare nelle infrastrutture informatiche è quella di aggiornare software, firmware e BIOS per correggere la vulnerabilità Intel-SA 00086 sui computer affetti prima che questa inizi ad essere sfruttata. Oltre alla vunerabilità SA 00086 occorre anche controllare che i computer non siano soggetti alla vulnerabilità relativa a WPA/WPA2 ovvero la vulnerabilità Intel-SA-00101, a riguardo si veda HPSBHF03571 rev 2 – Intel Management Engine Cumulative Security update and fix for WPA2 vulnerability e il mio post Violato il protocollo WPA2.

Anche l’HP ProBook 450 G4 risulta affetto da tale vulnerabilità come rilevato dall’INTEL-SA-00086 Detection Tool dal momento che monta un processo Intel Core i5-7200U di settima generazione.

Di seguito i passi della procedura di aggiornamento, i vari pacchetti per aggiornamento di firmware, BIOS e driver possono essere reperiti al seguente link Notebook HP ProBook 450 G4 – Software e driver per Windows 10 (64 bit).

Passo 1: Installazione dell’Intel Management Engine Driver

Al momento è disponibile la versione 11.7.0.1045 Rev.A del 16 novembre 2017 distribuita tramite il pacchetto sp82469.exe rilasciato per correggere la vulnerabilità Intel SA-00086:

Fixes a critical Intel security issue (Intel-SA-00086)

Per l’installazione eseguire il pacchetto sp82469.exe.

Passo 2: Installazione dell’Intel Consumer Management Engine (ME) Firmware Component

Al momento è disponibile la versione 11.8.50.3425 Rev.C del 16 novembre 2017 distribuita tramite il pacchetto sp82494.exe rilasciato per correggere le vulnerabilità Intel SA-00086 e Intel-SA-00101:

Fixes a critical Intel Management Engine firmware security issue (Intel-SA-00086)
Fixes a potential security issue that occurs when WPA/WPA2 are used on the system (Intel-SA-00101)

Per l’installazione eseguire il pacchetto sp82469.exe per scompattare i file necessari, quindi eseguire le seguenti operazioni:

  • Aprire il prompt dei comandi con privilegi amministrativi
  • Nel caso di Windows 10 a 64 bit spostarsi nella cartella C:\swsetup\SP82494\FW64 con il comando CD C:\swsetup\SP82494\FW64 quindi eseguire lo script update64.bat.
  • Nel caso di Windows 10 a 32 bit spostarsi nella cartella C:\swsetup\SP82494\FW32 con il comando: CD C:\swsetup\SP82494\FW32 quindi eseguire lo script update32.bat
  • Confermare con Y l’update del firmware
  • Al termine dell’update riavviare il sistema

Dopo l’installazione dell’Intel Management Engine Driver e dell’Intel Consumer Management Engine (ME) Firmware Component l’INTEL-SA-00086 Detection Tool rileva il sistema come non più vulnerabile, ma conviene ovviamente continuare ad installare anche altri eventuali aggiornamenti necessari.

Passo 3: Installazione dell’HP Notebook System BIOS Update

Al momento è disponibile la versione 01.08 Rev.A del 18 ottobre 2017 distribuita tramite il pacchetto sp82335.exe.

Per l’installazione eseguire il pacchetto sp82335.exe, quando richiesto selezionare l’opzione per aggiornare il BIOS, quando richiesto riavviare il sistema e quindi attendere l’aggiornamento del BIOS al riavvio.

Passo 4: Installazione Sistema operativo-Miglioramenti e QFE

Al momento è disponibile la versione 11.2 Rev.1 del 1 giugno 2016 distribuita tramite il pacchetto sp76202.exe e contiene miglioramenti:

– Abilita la rotazione automatica dello schermo sui sistemi tablet.
– Installa il marcatore OCA (Online Crash Analysis).
– Aggiunge l’impostazione di registro PreventDeviceEncryption di Bitlocker per i sistemi in modalità standby connesso.

Per l’installazione eseguire il pacchetto sp76202.exe e quando richiesto riavviare il sistema.

Per installare il pacchetto sp76202.exe occorre prima aver installato il .NET Framework 3.5 SP1.

Passo 5: Installazione di eventuali altri firmware necessari

  • Aggiornamento del firmware Hub HP da USB-C a USB-A, al momento è disponibile la versione 1.25 Rev.A del 10 aprile 2017 distribuita tramite il pacchetto sp79714.exe. Si noti che l’istallazione di questo pacchetto potrebbe non andare a buon fine a riguardo si veda la seguente discussione sul forum di HP HP USB-C to USB-A Hub Firmware Update -> Updated failed.
  • HP lt4132 Mobile Broadband Firmware Update, al momento è disponibile la versione 11.500.00.13.1803 Rev.A del 30 marzo 2017 distribuita tramite il pacchetto sp79601.exe. Valutare l’installazione dell’aggiornamento in base alla presenza o meno del dispositivo nel sistema.
  • Intel Solid State Drive (SSD) Firmware Update, al momento è disponibile la versione LBF015N Rev.A del 1 giugno 2016 distribuita tramite il pacchetto sp81505.exe. Valutare l’installazione dell’aggiornamento in base alla presenza o meno del dispositivo nel sistema.

Conclusioni

Sebbene gli aggiornamenti firmware siano spesso eseguiti di rado specialmente su sistemi client dal momento che le vulnerabilità Intel SA-00086 e Intel-SA-00101 potrebbero nel prossimo futuro essere sfruttate da attacchi massicci con pesanti ripercussioni nell’infrastruttura informatica aziendale. Occorre quindi prevedere la gestione dei firmware tra le attività di gestione del parco informatico non solo per risolvere le attuali vulnerabilità, ma anche per prevenire future vulnerabilità che si possono presentare e che è ragionevole aspettarsi dal momento che anche i firmware hanno ormai un elevato grado di complessità dovuto al fatto che implementano un congruo numero di funzionalità.