HP Flaw permite hackerilor să vă deturneze computerul: ce să faceți

Aveți un laptop sau desktop HP? Veți dori să vă asigurați că are cele mai recente patch-uri software HP.

Acest lucru se datorează faptului că există o eroare gravă în versiunile mai vechi ale Touchpoint Analytics, cunoscut și sub numele de HP Device Health Service, un program de diagnosticare încorporat în majoritatea computerelor HP care rulează Windows. Un utilizator sau un program cu drepturi administrative ar putea utiliza Touchpoint Analytics pentru a instala în mod tăcut și permanent malware la nivel de sistem, iar un cont cu utilizator limitat ar putea face acest lucru și în anumite cazuri.

HP a remediat această problemă cu Touchpoint Analytics / HP Device Health Service versiunea 4.1.4.2827 pe 4 octombrie, însă este posibil ca nu toți utilizatorii HP să fi primit încă actualizarea. Peleg Hadar de la firma de securitate SafeBreach are o redactare tehnică detaliată a erorii într-o postare de blog de astăzi (10 octombrie), pe care o rezumăm mai jos.

Cum să vă asigurați că sunteți în siguranță

Există două modalități de a verifica și rezolva această problemă - una dacă aveți Windows 10 și una dacă nu aveți. A doua metodă funcționează și pentru Windows 10, dar este puțin mai complicată. Ambele metode necesită să fiți conectat ca administrator.

Dacă aveți Windows 10, faceți clic dreapta pe pictograma Windows din partea stângă jos a ecranului și selectați Device Manager. Derulați în jos și extindeți secțiunea Componente software. Faceți clic dreapta pe HP Device Health Service și selectați Properties. Selectați fila Drivere și vedeți ce versiune de HP Device Health Service aveți.

Doriți să aveți versiunea 4.1.4.2827. Dacă este mai mic, atunci doriți să declanșați Windows Update pentru a descărca și instala versiunea corectă.

Faceți clic pe pictograma Windows din partea din stânga jos a ecranului și selectați pictograma Setări - arată ca un echipament de bicicletă. Faceți clic pe Actualizări și securitate, apoi Windows Update, dacă este necesar, apoi faceți clic pe butonul mare Verificați actualizările. Windows se va ocupa de restul.

MAI MULTE: Cele mai bune laptopuri HP

Dacă aveți o versiune anterioară a Windows, faceți clic pe pictograma Windows din partea stângă jos a ecranului, deschideți meniul Start și selectați Panoul de control. De asemenea, puteți tasta doar Panoul de control în câmpul de căutare. Găsiți și selectați Programe și / sau Programe și caracteristici. Este posibil să fie necesar să selectați Dezinstalați un program. Găsiți clientul HP Touchpoint Analytics și vedeți ce număr de versiune este listat lângă acesta.

Din nou, doriți să aveți versiunea 4.1.4.2827. Dacă este mai mic, va trebui să îl actualizați. Din păcate, Windows Update nu va face acest lucru pentru dvs. în pre-Windows 10, deci trebuie să utilizați un alt instrument.

Reveniți în partea din stânga jos a ecranului și introduceți Instrumente de administrare. În fereastra Instrumente de administrare, faceți dublu clic pe Task Scheduler. Faceți clic dreapta pe TechPulse Updater și selectați Run.

Coborând pe un drum greșit

Problema apare aici deoarece Touchpoint Analytics / HP Device Health Service utilizează un software open-source numit Open Hardware Monitor pentru a accesa componente de nivel scăzut ale unui PC, cum ar fi memoria fizică și partițiile de disc ascunse. (Aici puteți descărca și instala Open Hardware Monitor pentru dvs.).

Open Hardware Monitor nu specifică locația anumitor depozite de coduri numite biblioteci de legături dinamice sau DLL-uri și nu verifică conținutul DLL-urilor. Acest lucru are sens pentru un utilitar Windows universal aplicabil, dar atunci când acel utilitar este refăcut ca un program de diagnosticare cu privilegii de sistem profunde, se pot întâmpla lucruri rele.

Când Touchpoint Analytics pornește, caută DLL-uri referitoare la multe tipuri posibile de hardware pe un PC, inclusiv plăci video de la terți de la AMD / ATI și Nvidia. Acesta caută în mai multe directoare sau căi de fișiere probabil aceste DLL-uri.

Aceste căi de fișiere sunt specificate de o „variabilă de mediu” la nivel de sistem numită PATH, care indică Touchpoint Analytics (și multe alte aplicații Windows) unde să caute DLL-uri și alte fișiere executabile.

Dar dacă un computer nu are o placă video terță parte, atunci DLL-urile corespunzătoare nu vor fi găsite sau încărcate. Cercetătorii de la firma de securitate SafeBreach au descoperit că ar putea crea versiuni false ale DLL-urilor AMD / ATI și Nvidia, să modifice variabila de mediu PATH la nivel de sistem pentru a adăuga directoare noi în care ar pune DLL-urile false și ar trebui ca Touchpoint Analytics să aleagă și să încarce dodgy-ul. DLL-uri.

Acest tip de DLL switcheroo este cunoscut sub numele de injecție DLL și face ca un program să facă lucruri pe care nu ar trebui să le facă. Jucătorii pe PC folosesc uneori injecția DLL pentru a trișa la jocuri, iar hackerii rău intenționați o pot folosi pentru a face un program să ruleze cod rău intenționat. (Injecția DLL funcționează pe sistemele Mac și Unix / Linux, precum și pe Windows.)

Deoarece Touchpoint Analytics rulează la nivel de sistem, poate face orice pe un sistem Windows - ceea ce înseamnă că orice malware încărcat în el prin injecție DLL poate și el.

Deci, de ce ne pasă? Pentru că…

Problema este că pe o mașină HP Windows standard care utilizează variabila PATH implicită, nimic din toate acestea nu este posibil decât dacă aveți deja privilegii administrative. Dar, desigur, dacă aveți deja privilegii administrative, atunci puteți instala malware oricum. Așa că s-ar putea să vă întrebați care este strigătul.

Răspunzând la o întrebare de la Laptop, Hadar a spus că scopul vulnerabilității „depinde de variabila de mediu PATH a sistemului de operare al victimei”.

Cu alte cuvinte, dacă o mașină are modificări existente la variabila de mediu PATH, atunci Touchpoint Analytics sau implementările Open Hardware Monitor pe alte sisteme ar putea încărca DLL-uri dăunătoare din directoare non-sistem. Acest lucru ar permite unui utilizator cu privilegii limitate sau malware instalat de contul unui utilizator limitat să injecteze un DLL rău intenționat la nivel de sistem.

„Am văzut câteva cazuri în care această vulnerabilitate a fost exploatabilă de către un utilizator care nu este administrator, deoarece un anumit folder din PATH a fost scris de către non-administratori”, ne-a spus Hadar.

Hadar și SafeBreach au găsit o eroare foarte similară la începutul acestui an la mașinile Dell, care a fost cauzată și de un serviciu de diagnosticare care utilizează software de la terți.

Credit de imagine: ReviewsExpert.net