Аудиодрайвер ноутбуков HP по ошибке действовал как кейлоггер
Новости Отредактировано
Фирма modzero, специализирующаяся на вопросах безопасности, обнаружила кейлоггер в ряде ноутбуков HP. Он скрывался в нетривиальном месте — аудиодрайвере.
901 открытий924 показов
Швейцарская фирма modzero, специализирующаяся на вопросах безопасности, 28 апреля обнаружила кейлоггер в ноутбуках HP, а 11 мая оповестила об этом публику. Эту неприятную функциональность нашли в драйвере Conexant HD Audio Driver Package версии 1.0.0.46.
Этот аудиодрайвер лучше всего описывается словом «кейлоггер», поскольку записывает все нажатия клавиш и сохраняет информацию в локальном файле, доступ к которому может получить любой человек, обладающий физическим доступом к компьютеру, или вредоносное ПО, которое знает, где искать.
А искать надо в одном из файлов аудиодрайвера, MicTray64.exe (C:\windows\system32\mictray64.exe).
И как так вышло?
Основная цель MicTray64.exe — считывать все нажатия клавиш, сделанные пользователем, чтобы зафиксировать и отреагировать на нажатие клавиш управления звуком. Кейлоггером его делает то, что все данные сохраняются в файле MicTray.log, который находится в папке C:\users\public, а значит, прочитать или скопировать этот файл может кто угодно. Он обновляется при каждом входе пользователя в систему.
Если же данный файл не существует, или ключ реестра, отвечающий за путь к файлу, был поврежден, аудиодрайвер передает собранную информацию локальному API OutputDebugString. Таким образом злоумышленники могут следить за тем, что вы набираете у себя на клавиатуре в режиме «онлайн», без опасений быть обнаруженными.
И в каких ноутбуках есть этот аудиодрайвер?
Исследователи modzero обнаружили предустановленный Conexant HD Audio Driver Package на 28 моделях ноутбуков HP. Другие модели, использующие этот драйвер, тоже могут быть затронуты, но официально это не подтверждено. Вот список уязвимых моделей:
- HP EliteBook 820 G3 Notebook PC
- HP EliteBook 828 G3 Notebook PC
- HP EliteBook 840 G3 Notebook PC
- HP EliteBook 848 G3 Notebook PC
- HP EliteBook 850 G3 Notebook PC
- HP ProBook 640 G2 Notebook PC
- HP ProBook 650 G2 Notebook PC
- HP ProBook 645 G2 Notebook PC
- HP ProBook 655 G2 Notebook PC
- HP ProBook 450 G3 Notebook PC
- HP ProBook 430 G3 Notebook PC
- HP ProBook 440 G3 Notebook PC
- HP ProBook 446 G3 Notebook PC
- HP ProBook 470 G3 Notebook PC
- HP ProBook 455 G3 Notebook PC
- HP EliteBook 725 G3 Notebook PC
- HP EliteBook 745 G3 Notebook PC
- HP EliteBook 755 G3 Notebook PC
- HP EliteBook 1030 G1 Notebook PC
- HP ZBook 15u G3 Mobile Workstation
- HP Elite x2 1012 G1 Tablet
- HP Elite x2 1012 G1 with Travel Keyboard
- HP Elite x2 1012 G1 Advanced Keyboard
- HP EliteBook Folio 1040 G3 Notebook PC
- HP ZBook 17 G3 Mobile Workstation
- HP ZBook 15 G3 Mobile Workstation
- HP ZBook Studio G3 Mobile Workstation
- HP EliteBook Folio G1 Notebook PC
HP все исправила
12 мая HP выпустила обновление, чтобы убрать кейлог-механизм из драйвера своих ноутбуков. Оно уже доступно для моделей как 2016, так и 2015 года. Получить его можно через Центр обновлений Windows или по этой прямой ссылке. Примечание к обновлению можно найти здесь.
Обновление HP не только удаляет возможности кейлоггера, но также файл, куда сохранялись все нажатия клавиш. Пользователи, имеющие резервные копии, должны проявить осторожность, чтобы не восстановить более старую версию этого файла. Напомним, что он обычно хранится по адресу C:\Users\Public\MicTray.log.
Вице-президент HP Майк Нэш отметил, что дополнительная «функциональность» аудиодрайвера была побочным результатом процесса отладки — её просто забыли удалить. На устройствах других производителей, использующих такую же версию драйвера, кейлоггер обнаружен не был.
901 открытий924 показов