HP Flaw позволява на хакерите да отвлекат вашия компютър: какво да правите

Имате лаптоп или настолен компютър на HP? Ще искате да се уверите, че има най -новите софтуерни корекции на HP.

Това е така, защото има по -сериозен недостатък в по -старите версии на Touchpoint Analytics, известен още като HP Device Health Service, диагностична програма, вградена в повечето компютри на HP, работещи под Windows. Потребител или програма с администраторски права може да използва Touchpoint Analytics за тихо и постоянно инсталиране на зловреден софтуер на системно ниво, а акаунт с ограничен потребител също може да го направи в определени случаи.

HP отстрани този проблем с Touchpoint Analytics/HP Device Health Service версия 4.1.4.2827 на 4 октомври, но не всички потребители на HP може все още да са получили актуализацията. Пелег Хадар от охранителната фирма SafeBreach има подробно техническо описание на недостатъка в публикация в блог днес (10 октомври), която обобщаваме по -долу.

Как да се уверите, че сте в безопасност

Има два начина да проверите и разрешите този проблем - един, ако имате Windows 10, и един, ако нямате. Вторият метод също работи за Windows 10, но е малко по -сложен. И двата метода изискват да сте влезли като администратор.

Ако имате Windows 10, щракнете с десния бутон върху иконата на Windows в долния ляв ъгъл на екрана и изберете Device Manager. Превъртете надолу до и разгънете секцията Софтуерни компоненти. Щракнете с десния бутон върху HP Device Health Service и изберете Properties. Изберете раздела Драйвери и вижте коя версия на HP Device Health Service имате.

Искате да имате версия 4.1.4.2827. Ако е по -ниска, тогава искате да задействате Windows Update, за да изтеглите и инсталирате правилната версия.

Щракнете върху иконата на Windows в долния ляв ъгъл на екрана и изберете иконата Настройки - тя изглежда като велосипедна екипировка. Щракнете върху Актуализации и защита, след това Windows Update, ако е необходимо, след това щракнете върху големия бутон Провери за актуализации. Windows ще се погрижи за останалото.

ОЩЕ: Най -добрите лаптопи на HP

Ако имате по -ранна версия на Windows, щракнете върху иконата на Windows в долния ляв ъгъл на екрана, отворете менюто "Старт" и изберете Контролен панел. Можете също така просто да въведете Контролен панел в полето за търсене. Намерете и изберете Програми и/или Програми и функции. Може също да се наложи да изберете Деинсталиране на програма. Намерете клиент на HP Touchpoint Analytics и вижте кой номер на версията е посочен до него.

Отново искате да имате версия 4.1.4.2827. Ако е по -ниска, ще трябва да я актуализирате. За съжаление Windows Update няма да направи това вместо вас в преди Windows 10, така че трябва да използвате друг инструмент.

Върнете се в долния ляв ъгъл на екрана и въведете Административни инструменти. В прозореца „Административни инструменти“ щракнете двукратно върху Планировчик на задачи. Щракнете с десния бутон върху TechPulse Updater и изберете Run.

Слизане по грешен ПЪТ

Проблемът тук възниква, защото Touchpoint Analytics/HP Device Health Service използва софтуер с отворен код, наречен Open Hardware Monitor, за достъп до компоненти на ниско ниво на компютър, като физическа памет и скрити дялове на диска. (Можете да изтеглите и инсталирате Open Hardware Monitor за себе си тук.)

Open Hardware Monitor не определя местоположението на определени хранилища на кодове, наречени библиотеки за динамични връзки, или DLL, и не проверява съдържанието на самите DLL. Това има смисъл за универсално приложима помощна програма за Windows, но когато тази помощна програма се пренастрои като диагностична програма с дълбоки системни права, могат да се случат лоши неща.

Когато Touchpoint Analytics се стартира, той търси DLL, отнасящи се до много възможни видове хардуер на компютър, включително видеокарти на трети страни от AMD/ATI и Nvidia. Той търси няколко вероятни директории или файлови пътища за тези DLL файлове.

Тези файлови пътища се определят от системна "променлива на околната среда", наречена PATH, която казва на Touchpoint Analytics (и много други приложения на Windows) къде да търсят DLL и други изпълними файлове.

Но ако компютърът няма видеокарта на трета страна, тогава подходящите DLL файлове няма да бъдат намерени или заредени. Изследователи от фирмата за сигурност SafeBreach установиха, че могат да създават фалшиви версии на DLL на AMD/ATI и Nvidia, да променят системната променлива на средата PATH, за да добавят нови директории, в които биха поставили фалшивите DLL, и да накарат Touchpoint Analytics да избере и зареди хитрите DLL файлове.

Този вид DLL комутатор е известен като DLL инжекция и кара програмата да прави неща, които не трябва. PC геймърите понякога използват DLL инжекция, за да мамят в игрите, а злонамерените хакери могат да я използват, за да накарат програма да изпълнява злонамерен код. (DLL инжекцията работи на Mac и Unix/Linux системи, както и на Windows.)

Тъй като Touchpoint Analytics работи на системно ниво, той може да прави всичко в система с Windows - което означава, че всеки зловреден софтуер, зареден в него чрез DLL инжекция, също може.

Така че защо ни е грижа? Защото…

Уловката е, че на стандартна машина с Windows Windows, използваща променливата PATH по подразбиране, нищо от това не е възможно, освен ако вече нямате административни права. Но разбира се, ако вече имате административни права, тогава все пак можете да инсталирате зловреден софтуер. Така че може би се чудите какво е протестът.

В отговор на въпрос от Laptop, Хадар каза, че обхватът на уязвимостта "зависи от променливата на средата PATH на операционната система на жертвата".

С други думи, ако машина има съществуващи промени в променливата на средата PATH, тогава Touchpoint Analytics или внедряването на Open Hardware Monitor в други системи може да успее да зареди злонамерени DLL файлове от несистемни директории. Това би позволило на потребител с ограничени привилегии или злонамерен софтуер, инсталиран от акаунта на ограничен потребител, да инжектира злонамерена DLL на системно ниво.

„Виждали сме някои случаи, при които тази уязвимост е била използвана от потребител, който не е администратор, тъй като определена папка в PATH може да се записва от не-администратор“, ни каза Хадар.

Hadar и SafeBreach откриха много подобен недостатък по-рано тази година в машините на Dell, който също беше причинен от диагностична услуга, която използва софтуер на трети страни.

Кредит на изображението: ReviewsExpert.net