Вышел патч для уязвимости, позволяющей превратить код, случайно оставленный в прошивке, в клавиатурный шпион.
Компания HP Inc. устранила уязвимость, позволяющую злоумышленникам превратить код для отладки, случайно оставленный на сотнях моделей ноутбуков, в клавиатурный шпион.
Брешь, связанную с использованием драйвера сенсорной панели Synaptics Touchpad, обнаружил Майкл Минг (Michael Myng). В описании открытия исследователь утверждает, что по умолчанию компонент отладчика отключен, однако пользователь с правами системного администратора может изменить значения в реестре Windows и включить функции клавиатурного шпиона.
Компания HP подтвердила наличие проблемы и выпустила обновление, которое удаляет опасный код, представляющий собой отладчик препроцессора трассировки программного обеспечения Windows (WPP). По данным HP, уязвимость присутствует более чем на 460 моделях ноутбуков, включая модельные ряды EliteBook, HP Pavilion и ZBook.
«Потенциальная уязвимость обнаружена при использовании некоторых версий драйверов сенсорной панели Synaptics и затрагивает всех OEM-партнеров Synaptics. Для злоупотребления этой уязвимостью необходимы права администратора», — говорится в опубликованном HP бюллетене безопасности. Также HP заявила, что ни Synaptics, ни сама компания не получали доступа к данным пользователей в связи с этой проблемой.
Минг утверждает, что код отладки, который можно превратить в клавиатурный шпион, присутствует в файле SynTP.sys.
Он пишет: «Отладчик сохранял коды опроса в трассировку WPP. Ведение журнала по умолчанию было отключено, но его можно было бы включить в настройках реестра (требуется пройти контроль учетных записей)».
Трассировка WPP — это метод отладки кода, который используют разработчики. Изменив значение в реестре Windows, Мингу удалось включить функцию журнала клавиатуры, которая сохраняла данные о нажатии клавиш локально.
«Некоторое время назад меня попросили найти способ контроля клавиатуры ноутбука HP с подсветкой. Я получил драйвер клавиатуры SynTP.sys, открыл его в IDA и, просмотрев код, обнаружил несколько интересных строк», — говорит Минг о своем открытии.
Обновление программного обеспечения можно скачать на сайте HP. Также, по словам исследователя, оно будет доставляться на компьютеры в составе обновлений Windows.
В мае выяснилось, что один из аудиодрайверов, установленных на некоторых компьютерах производства HP, записывал нажатия клавиш пользователем и сохранял их в незашифрованном виде в файле, доступном для чтения всем пользователям. Источником неприятностей оказался файл MicTray64.exe версии 1.0.0.31 — программа, которая устанавливается с пакетом аудиодрайверов Conexant на некоторых компьютерах HP.