近期,國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄了惠普筆記本音頻驅(qū)動(dòng)內(nèi)置鍵盤記錄器后門漏洞 (CNVD-2017-09590,對(duì)應(yīng)編號(hào)CVE-2017-8360)。攻擊者可利用在當(dāng)前用戶會(huì)話中運(yùn)行的任何進(jìn)程監(jiān)控調(diào)試信息,記錄用戶通過(guò)鍵盤輸入的任意內(nèi)容,包括用戶輸入的密碼等敏感數(shù)據(jù),構(gòu)成較為嚴(yán)重的信息泄露和運(yùn)行安全風(fēng)險(xiǎn)。
一、漏洞情況分析
2017年4月28日,瑞士安全公司Modzero的安全研究員Thorsten Schroeder在審查Windows Active Domain的基礎(chǔ)設(shè)施時(shí)發(fā)現(xiàn),惠普IT產(chǎn)品(筆記本電腦)中的Conexant音頻驅(qū)動(dòng)程序內(nèi)置了用于調(diào)試產(chǎn)品的MicTray64.exe(鍵盤記錄器),可記錄用戶的所有按鍵輸入。在原出廠環(huán)境下,MicTray64.exe與Conexant音頻驅(qū)動(dòng)程序包被同時(shí)安裝在筆記本電腦中,鍵盤記錄功能除了處理快捷鍵/功能鍵的點(diǎn)擊事件外,所有的鍵盤輸入信息都會(huì)被寫入所有用戶權(quán)限都可讀的路徑中的日志文件(C:UsersPublicMicTray.log)中,甚至?xí)䝼鬟f給OutputDebugString API,這使得任何可以調(diào)用MapViewOfFile API的框架或者進(jìn)程都能夠通過(guò)用戶的鍵盤輸入信息靜默的收集敏感數(shù)據(jù),并在白名單機(jī)制下繞過(guò)殺毒軟件檢測(cè)。
CNVD對(duì)漏洞的綜合評(píng)級(jí)為“高危”。
二、漏洞影響范圍
受漏洞影響的硬件產(chǎn)品型號(hào):
HP EliteBook 820 G3 Notebook PC
HP EliteBook 828 G3 Notebook PC
HP EliteBook 840 G3 Notebook PC
HP EliteBook 848 G3 Notebook PC
HP EliteBook 850 G3 Notebook PC
HP ProBook 640 G2 Notebook PC
HP ProBook 650 G2 Notebook PC
HP ProBook 645 G2 Notebook PC
HP ProBook 655 G2 Notebook PC
HP ProBook 450 G3 Notebook PC
HP ProBook 430 G3 Notebook PC
HP ProBook 440 G3 Notebook PC
HP ProBook 446 G3 Notebook PC
HP ProBook 470 G3 Notebook PC
HP ProBook 455 G3 Notebook PC
HP EliteBook 725 G3 Notebook PC
HP EliteBook 745 G3 Notebook PC
HP EliteBook 755 G3 Notebook PC
HP EliteBook 1030 G1 Notebook PC
HP ZBook 15u G3 Mobile Workstation
HP Elite x2 1012 G1 Tablet
HP Elite x2 1012 G1 with Travel Keyboard
HP Elite x2 1012 G1 Advanced Keyboard
HP EliteBook Folio 1040 G3 Notebook PC
HP ZBook 17 G3 Mobile Workstation
HP ZBook 15 G3 Mobile Workstation
HP ZBook Studio G3 Mobile Workstation
HP EliteBook Folio G1 Notebook PC
受漏洞影響的操作系統(tǒng):
Microsoft Windows 10 32
Microsoft Windows 10 64
Microsoft Windows 10 IOT Enterprise 32-Bit (x86)
Microsoft Windows 10 IOT Enterprise 64-Bit (x86)
Microsoft Windows 7 Enterprise 32 Edition
Microsoft Windows 7 Enterprise 64 Edition
Microsoft Windows 7 Home Basic 32 Edition
Microsoft Windows 7 Home Basic 64 Edition
Microsoft Windows 7 Home Premium 32 Edition
Microsoft Windows 7 Home Premium 64 Edition
Microsoft Windows 7 Professional 32 Edition
Microsoft Windows 7 Professional 64 Edition
Microsoft Windows 7 Starter 32 Edition
Microsoft Windows 7 Ultimate 32 Edition
Microsoft Windows 7 Ultimate 64 Edition
Microsoft Windows Embedded Standard 7 32
Microsoft Windows Embedded Standard 7E 32-Bit
注:其它使用了Conexant硬件和驅(qū)動(dòng)器的硬件廠商也有可能受該問題影響。
三、漏洞修復(fù)建議
惠普針對(duì)該情況緊急發(fā)布過(guò)一個(gè)關(guān)閉此調(diào)試功能的修復(fù)程序。2017年5月14日,惠普又發(fā)布了更新的修復(fù)驅(qū)動(dòng)程序,該程序能將所有高保真音頻驅(qū)動(dòng)中有此調(diào)試記錄功能的源代碼刪除。受影響的惠普電腦對(duì)應(yīng)修復(fù)程序的列表請(qǐng)參考惠普官網(wǎng): https://support.hp.com/us-en/document/c05519670
如未能升級(jí),可以采用如下臨時(shí)解決方案:
刪除MicTray可執(zhí)行文件和相應(yīng)的日志記錄文件。僅僅刪除計(jì)劃任務(wù)是不能解決問題的,因?yàn)?a target="_blank" href="http://www.liuyangsem.com" class="UBBWordLink">Windows服務(wù)CxMonSvc將再一次啟動(dòng)MicTray。刪除文件位置如下:
可執(zhí)行文件的位置:C:WindowsSystem32MicTray64.exe
日志文件的位置:C:UsersPublicMicTray.log
附:參考鏈接:
https://newsblog.ext.hp.com/t5/HP-newsroom-blog/Modzero-report-on-keylogger-issue/ba-p/937?from=groupmessage
https://www.modzero.ch/advisories/MZ-17-01-Conexant-Keylogger.txt
http://www.cnvd.org.cn/flaw/show/CNVD-2017-09590
稿源:國(guó)家互聯(lián)網(wǎng)應(yīng)急中心
