安全研究人員發現,大多數HP電腦中一項預安裝的軟體存在權限升級漏洞,可能被駭甚至遭接管機器,HP呼籲用戶儘速安裝修補程式。

編號CVE-2019-6333的漏洞,是由安全廠商Safebreach研究人員Peleg Hadar發現,位於HP電腦的預安裝軟體Touchpoint Analytics中,該漏洞可能讓本地攻擊者上傳未簽章的惡意DLL檔案到具管理員權限的服務中,達成權限升級和滲透(privilege escalation and persistence)。

這並非TouchPoint Analytics第一次引發安全疑慮。2017年,HP電腦用戶首度發現HP在未獲得其同意下,在其電腦中安裝HP Touchpoint Analytics,被防毒軟體檢測為惡意程式。

大部份HP電腦都安裝了Touchpoint Analytics,它主要是用於匿名蒐集及診斷硬體效能,並進行磁碟掃瞄及電池測試,因為它是以NT Authority\System帳號執行,具有管理員權限。Touchpoint Analytics啟動後,其中的Open Hardware Monitor元件下載第三方經簽章的簽章核心驅動程式WingRing0,並在系統(System)帳號下對低階硬體包括實體記憶體、CPU或GPU執行程式碼,像是診斷檢測。研究人員即利用此一漏洞製作概念驗證(PoC)攻擊程式。

Safebreach研究小組利用驅動程式函式提供讀/寫、to/from實體記憶體的選項對DLL檔案加以改造。在PoC中,即使DLL檔案未獲得簽章,但利用這項漏洞,研究人員仍能成功擷取並列印出實體記憶體中的任意內容。研究人員指出,本項漏洞還能允許攻擊者利用經簽章的服務做更進階的攻擊,像是藉此繞過應用程式白名單過濾(application whitelisting)及簽章驗證機制。此外,攻擊者還可藉此逃過微軟於Windows 10加入的驅動程式強制簽章(driver signature enforcement,DSE)保護。事實上,HP TouchPoint Analytics本身就內建了獲簽章的驅動程式核心WingRing0,省了攻擊者不少麻煩。

本漏洞影響4.1.4.2827之前版本的TouchPoint Analytics。經研究人員通報後,HP已經釋出最新版本。雖然本漏洞僅允許本地攻擊,CVSS風險分數為6.7,屬於中低度風險,但是由於每台HP電腦都有安裝,HP仍呼籲使用者儘速升級


Advertisement

更多 iThome相關內容