您现在的位置:重庆教研网 教育信息技术研究所>> 网络安全>>正文内容

国家信息安全漏洞共享平台关于惠普笔记本音频驱动存在内置键盘记录器后门漏洞的安全公告

震惊|国家已发通报!惠普笔记本存在隐藏键盘记录器
关于惠普笔记本音频驱动存在内置键盘记录器后门漏洞的安全公告

            近期,国家信息安全漏洞共享平台(CNVD)收录了惠普笔记本音频驱动内置键盘记录器后门漏洞(CNVD-2017-09590,对应编号CVE-2017-8360)。攻击者可利用在当前用户会话中运行的任何进程监控调试信息,记录用户通过键盘输入的任意内容,包括用户输入的密码等敏感数据,构成较为严重的信息泄露和运行安全风险。
           一、漏洞情况分析
           2017年4月28日,瑞士安全公司Modzero的安全研究员ThorstenSchroeder在审查WindowsActiveDomain的基础设施时发现,惠普IT产品(笔记本电脑)中的Conexant音频驱动程序内置了用于调试产品的MicTray64.exe(键盘记录器),可记录用户的所有按键输入。在原出厂环境下,MicTray64.exe与Conexant音频驱动程序包被同时安装在笔记本电脑中,键盘记录功能除了处理快捷键/功能键的点击事件外,所有的键盘输入信息都会被写入所有用户权限都可读的路径中的日志文件(C:UsersPublicMicTray.log)中,甚至会传递给OutputDebugStringAPI,这使得任何可以调用MapViewOfFileAPI的框架或者进程都能够通过用户的键盘输入信息静默的收集敏感数据,并在白名单机制下绕过杀毒软件检测。
           CNVD对漏洞的综合评级为“高危”。
           二、漏洞影响范围
           受漏洞影响的硬件产品型号:
           HPEliteBook820G3NotebookPC
           HPEliteBook828G3NotebookPC
           HPEliteBook840G3NotebookPC
           HPEliteBook848G3NotebookPC
           HPEliteBook850G3NotebookPC
           HPProBook640G2NotebookPC
           HPProBook650G2NotebookPC
           HPProBook645G2NotebookPC
           HPProBook655G2NotebookPC
           HPProBook450G3NotebookPC
           HPProBook430G3NotebookPC
           HPProBook440G3NotebookPC
           HPProBook446G3NotebookPC
           HPProBook470G3NotebookPC
           HPProBook455G3NotebookPC
           HPEliteBook725G3NotebookPC
           HPEliteBook745G3NotebookPC
           HPEliteBook755G3NotebookPC
           HPEliteBook1030G1NotebookPC
           HPZBook15uG3MobileWorkstation
           HPElitex21012G1Tablet
           HPElitex21012G1withTravelKeyboard
           HPElitex21012G1AdvancedKeyboard
           HPEliteBookFolio1040G3NotebookPC
           HPZBook17G3MobileWorkstation
           HPZBook15G3MobileWorkstation
           HPZBookStudioG3MobileWorkstation
           HPEliteBookFolioG1NotebookPC
受漏洞影响的操作系统:
           MicrosoftWindows1032
           MicrosoftWindows1064
           MicrosoftWindows10IOTEnterprise32-Bit(x86)
           MicrosoftWindows10IOTEnterprise64-Bit(x86)
           MicrosoftWindows7Enterprise32Edition
           MicrosoftWindows7Enterprise64Edition
           MicrosoftWindows7HomeBasic32Edition
           MicrosoftWindows7HomeBasic64Edition
           MicrosoftWindows7HomePremium32Edition
           MicrosoftWindows7HomePremium64Edition
           MicrosoftWindows7Professional32Edition
           MicrosoftWindows7Professional64Edition
MicrosoftWindows7Starter32Edition
MicrosoftWindows7Ultimate32Edition
MicrosoftWindows7Ultimate64Edition
MicrosoftWindowsEmbeddedStandard732
MicrosoftWindowsEmbeddedStandard7E32-Bit
注:其它使用了Conexant硬件和驱动器的硬件厂商也有可能受该问题影响。
三、漏洞修复建议
惠普针对该情况紧急发布过一个关闭此调试功能的修复程序。2017年5月14日,惠普又发布了更新的修复驱动程序,该程序能将所有高保真音频驱动中有此调试记录功能的源代码删除。受影响的惠普电脑对应修复程序的列表请参考惠普官网:https://support.hp.com/us-en/document/c05519670
如未能升级,可以采用如下临时解决方案:
删除MicTray可执行文件和相应的日志记录文件。仅仅删除计划任务是不能解决问题的,因为Windows服务CxMonSvc将再一次启动MicTray。删除文件位置如下:
可执行文件的位置:C:WindowsSystem32MicTray64.exe
日志文件的位置:C:UsersPublicMicTray.log
附:参考链接:
https://newsblog.ext.hp.com/t5/HP-newsroom-blog/Modzero-report-on-keylogger-issue/ba-p/937?from=groupmessage
https://www.modzero.ch/advisories/MZ-17-01-Conexant-Keylogger.txt
http://www.cnvd.org.cn/flaw/show/CNVD-2017-09590
http://www.cert.org.cn/publish/main/9/2017/20170707131711412930934/20170707131711412930934_.html
近期,国家信息安全漏洞共享平台(CNVD)收录了惠普笔记本音频驱动内置键盘记录器后门漏洞(CNVD-2017-09590,对应编号CVE-2017-8360)。攻击者可利用在当前用户会话中运行的任何进程监控调试信息,记录用户通过键盘输入的任意内容,包括用户输入的密码等敏感数据,构成较为严重的信息泄露和运行安全风险。
一、漏洞情况分析
2017年4月28日,瑞士安全公司Modzero的安全研究员ThorstenSchroeder在审查WindowsActiveDomain的基础设施时发现,惠普IT产品(笔记本电脑)中的Conexant音频驱动程序内置了用于调试产品的MicTray64.exe(键盘记录器),可记录用户的所有按键输入。在原出厂环境下,MicTray64.exe与Conexant音频驱动程序包被同时安装在笔记本电脑中,键盘记录功能除了处理快捷键/功能键的点击事件外,所有的键盘输入信息都会被写入所有用户权限都可读的路径中的日志文件(C:UsersPublicMicTray.log)中,甚至会传递给OutputDebugStringAPI,这使得任何可以调用MapViewOfFileAPI的框架或者进程都能够通过用户的键盘输入信息静默的收集敏感数据,并在白名单机制下绕过杀毒软件检测。
CNVD对漏洞的综合评级为“高危”。
二、漏洞影响范围
受漏洞影响的硬件产品型号:
HPEliteBook820G3NotebookPC
HPEliteBook828G3NotebookPC
HPEliteBook840G3NotebookPC
HPEliteBook848G3NotebookPC
HPEliteBook850G3NotebookPC
HPProBook640G2NotebookPC
HPProBook650G2NotebookPC
HPProBook645G2NotebookPC
HPProBook655G2NotebookPC
HPProBook450G3NotebookPC
HPProBook430G3NotebookPC
HPProBook440G3NotebookPC
HPProBook446G3NotebookPC
HPProBook470G3NotebookPC
HPProBook455G3NotebookPC
HPEliteBook725G3NotebookPC
HPEliteBook745G3NotebookPC
HPEliteBook755G3NotebookPC
HPEliteBook1030G1NotebookPC
HPZBook15uG3MobileWorkstation
HPElitex21012G1Tablet
HPElitex21012G1withTravelKeyboard
HPElitex21012G1AdvancedKeyboard
HPEliteBookFolio1040G3NotebookPC
HPZBook17G3MobileWorkstation
HPZBook15G3MobileWorkstation
HPZBookStudioG3MobileWorkstation
HPEliteBookFolioG1NotebookPC
受漏洞影响的操作系统:
MicrosoftWindows1032
MicrosoftWindows1064
MicrosoftWindows10IOTEnterprise32-Bit(x86)
MicrosoftWindows10IOTEnterprise64-Bit(x86)
MicrosoftWindows7Enterprise32Edition
MicrosoftWindows7Enterprise64Edition
MicrosoftWindows7HomeBasic32Edition
MicrosoftWindows7HomeBasic64Edition
MicrosoftWindows7HomePremium32Edition
MicrosoftWindows7HomePremium64Edition
MicrosoftWindows7Professional32Edition
MicrosoftWindows7Professional64Edition
MicrosoftWindows7Starter32Edition
MicrosoftWindows7Ultimate32Edition
MicrosoftWindows7Ultimate64Edition
MicrosoftWindowsEmbeddedStandard732
MicrosoftWindowsEmbeddedStandard7E32-Bit
注:其它使用了Conexant硬件和驱动器的硬件厂商也有可能受该问题影响。
           三、漏洞修复建议
           惠普针对该情况紧急发布过一个关闭此调试功能的修复程序。2017年5月14日,惠普又发布了更新的修复驱动程序,该程序能将所有高保真音频驱动中有此调试记录功能的源代码删除。受影响的惠普电脑对应修复程序的列表请参考惠普官网:https://support.hp.com/us-en/document/c05519670
           如未能升级,可以采用如下临时解决方案:
           删除MicTray可执行文件和相应的日志记录文件。仅仅删除计划任务是不能解决问题的,因为Windows服务CxMonSvc将再一次启动MicTray。删除文件位置如下:
可执行文件的位置:C:WindowsSystem32MicTray64.exe
日志文件的位置:C:UsersPublicMicTray.log
           附:参考链接:
https://newsblog.ext.hp.com/t5/HP-newsroom-blog/Modzero-report-on-keylogger-issue/ba-p/937?from=groupmessage
https://www.modzero.ch/advisories/MZ-17-01-Conexant-Keylogger.txt
http://www.cnvd.org.cn/flaw/show/CNVD-2017-09590


【字体: 】【收藏】【打印文章】【查看评论

相关文章

    没有相关内容
渝公网安备 50010302000756号 渝ICP备08002375号-1
版权所有:重庆市教育科学研究院 制作维护:重庆市教育科学研究院教育信息技术研究所