HP Flaw дозволяє хакерам викрасти ваш ПК: що робити

У вас є ноутбук або настільний комп'ютер HP? Вам потрібно переконатися, що він має найновіші виправлення програмного забезпечення HP.

Це пояснюється тим, що у старих версіях Touchpoint Analytics, також відомих як HP Device Health Service, діагностична програма, вбудована в більшість ПК HP під керуванням Windows, є серйозна помилка. Користувач або програма з правами адміністратора могли б використовувати Touchpoint Analytics для безшумної та постійної інсталяції шкідливого програмного забезпечення на системному рівні, а в певних випадках це також може зробити обліковий запис з обмеженим доступом користувачів.

HP усунула цю проблему за допомогою Touchpoint Analytics/HP Device Health Service версії 4.1.4.2827 4 жовтня, але не всі користувачі HP, можливо, ще отримали оновлення. Пелег Хадар з охоронної фірми SafeBreach має детальний технічний опис вади у дописі у блозі сьогодні (10 жовтня), який ми підсумовуємо нижче.

Як переконатися, що ви в безпеці

Існує два способи перевірити та вирішити цю проблему - один, якщо у вас Windows 10, і один, якщо його немає. Другий спосіб також працює для Windows 10, але дещо складніше. Обидва методи вимагають, щоб ви увійшли як адміністратор.

Якщо у вас Windows 10, клацніть правою кнопкою миші піктограму Windows у нижньому лівому куті екрана та виберіть Диспетчер пристроїв. Прокрутіть униз до розділу Програмні компоненти та розгорніть його. Клацніть правою кнопкою миші Службу HP Device Health Service і виберіть Властивості. Перейдіть на вкладку Драйвери та подивіться, яка у вас версія HP Device Health Service.

Ви хочете мати версію 4.1.4.2827. Якщо він нижчий, то потрібно активувати Центр оновлення Windows для завантаження та встановлення правильної версії.

Натисніть на піктограму Windows у нижньому лівому куті екрана та виберіть піктограму «Налаштування» - вона виглядає як велосипедне спорядження. Натисніть «Оновлення та безпека», потім «Windows Update», якщо необхідно, а потім натисніть велику кнопку «Перевірити наявність оновлень». Про все інше подбає Windows.

БІЛЬШЕ: Найкращі ноутбуки HP

Якщо у вас є більш рання версія Windows, клацніть піктограму Windows у нижньому лівому куті екрана, відкрийте меню «Пуск» і виберіть «Панель керування». Ви також можете просто ввести Панель керування у поле пошуку. Знайдіть і виберіть Програми та/або Програми та функції. Можливо, вам також доведеться вибрати Видалити програму. Знайдіть клієнта HP Touchpoint Analytics і подивіться, яка версія версії вказана поруч із ним.

Знову ж таки, ви хочете мати версію 4.1.4.2827. Якщо він нижчий, його доведеться оновити. На жаль, Windows Update не зробить цього за вас у попередній версії Windows 10, тому вам доведеться скористатися іншим інструментом.

Поверніться в нижній лівий кут екрана та введіть «Адміністрування». У вікні Адміністрування двічі клацніть Планувальник завдань. Клацніть правою кнопкою миші TechPulse Updater і виберіть Виконати.

Сходження по неправильному шляху

Проблема тут виникає через те, що Touchpoint Analytics/HP Device Health Service використовує програмне забезпечення з відкритим кодом під назвою Open Hardware Monitor для доступу до низькорівневих компонентів ПК, таких як фізична пам’ять та приховані розділи диска. (Ви можете завантажити та встановити Open Hardware Monitor для себе тут.)

Open Hardware Monitor не вказує розташування певних сховищ коду, які називаються бібліотеками динамічних посилань, або DLL, і не перевіряє вміст самих DLL. Це має сенс для загальноприйнятої утиліти Windows, але коли цю утиліту перепризначено як діагностичну програму з глибокими системними привілеями, можуть трапитися погані речі.

Коли Touchpoint Analytics запускається, він шукає DLL, що стосуються багатьох можливих видів обладнання на ПК, включаючи сторонні відеокарти від AMD/ATI та Nvidia. Він здійснює пошук у декількох вірогідних каталогах або шляхах до файлів для цих DLL.

Ці шляхи до файлів визначаються загальносистемною "змінною середовища" під назвою PATH, яка повідомляє Touchpoint Analytics (та багато інших програм Windows), де шукати DLL та інші виконувані файли.

Але якщо на комп’ютері немає сторонньої відеокарти, належні бібліотеки DLL не знайдуться та не завантажаться. Дослідники з фірми безпеки SafeBreach виявили, що вони можуть створювати підроблені версії бібліотек DLL AMD/ATI та Nvidia, змінювати загальносистемну змінну середовища PATH, щоб додавати нові каталоги, у які вони б розміщували підроблені DLL, а також Touchpoint Analytics вибирати та завантажувати хитрощі. Бібліотеки DLL.

Цей вид комутатора DLL відомий як ін'єкція DLL, і він змушує програму робити те, що їй не слід. Геймери на ПК іноді використовують ін’єкцію DLL для обману в іграх, а зловмисні хакери можуть використовувати її, щоб змусити програму запускати шкідливий код. (Ін'єкція DLL працює на комп'ютерах Mac та Unix/Linux, а також у Windows.)

Оскільки Touchpoint Analytics працює на системному рівні, він може робити все, що завгодно у системі Windows - це означає, що будь -яке шкідливе програмне забезпечення, завантажене в нього за допомогою ін'єкції DLL, також може.

То чому ми дбаємо про це? Тому що…

Загадка полягає в тому, що на стандартній машині Windows Windows, яка використовує змінну PATH за замовчуванням, нічого з цього неможливо, якщо у вас вже немає прав адміністратора. Але, звичайно, якщо у вас вже є права адміністратора, ви все одно можете встановити шкідливе програмне забезпечення. Тож вам може бути цікаво, що викликає заперечення.

Відповідаючи на запитання Laptop, Хадар сказав, що масштаб уразливості "залежить від змінної середовища PATH операційної системи жертви".

Іншими словами, якщо на машині випадково є зміни до змінної середовища PATH, то Touchpoint Analytics або реалізація Open Hardware Monitor в інших системах може мати можливість завантажувати шкідливі бібліотеки DLL з несистемних каталогів. Це дозволить користувачеві з обмеженими привілеями або шкідливим програмним забезпеченням, встановленим обліковим записом обмеженого користувача, ввести шкідливу DLL на системному рівні.

"Ми бачили деякі випадки, коли цю вразливість можна було використати користувачем, що не має права адміністратора, тому що певну папку в PATH можна було записувати не адміністратором",-сказав нам Хадар.

Раніше цього року Hadar та SafeBreach виявили дуже подібну помилку у машинах Dell, яка також була викликана діагностичною службою, яка використовувала сторонні програми.

Кредит зображення: ReviewsExpert.net