HP Flaw antaa hakkereiden kaapata tietokoneesi: Mitä tehdä - ArvostelutExpert.net

Onko sinulla HP -kannettava tietokone tai pöytäkone? Haluat varmistaa, että siinä on uusimmat HP -ohjelmistokorjaukset.

Tämä johtuu siitä, että Touchpoint Analyticsin, eli HP Device Health Servicen, diagnostiikkaohjelman, joka on sisäänrakennettu useimpiin Windows -tietokoneisiin, vanhemmissa versioissa on vakava virhe. Käyttäjä tai ohjelma, jolla on järjestelmänvalvojan oikeudet, voi käyttää Touchpoint Analyticsia asentaakseen haittaohjelman äänettömästi ja pysyvästi järjestelmätasolle, ja rajoitettu käyttäjä voi tehdä sen myös tietyissä tapauksissa.

HP korjasi tämän ongelman Touchpoint Analytics/HP Device Health Service -version 4.1.4.2827 avulla 4. lokakuuta, mutta kaikki HP: n käyttäjät eivät ehkä ole vielä saaneet päivitystä. Turvallisuusyrityksen SafeBreachin Peleg Hadarilla on yksityiskohtainen tekninen kuvaus virheestä tänään (10. lokakuuta) julkaistussa blogikirjoituksessa, jonka tiivistämme alla.

Kuinka varmistaa, että olet turvassa

Ongelman voi tarkistaa ja ratkaista kahdella tavalla - yksi, jos sinulla on Windows 10, ja toinen, jos et. Toinen menetelmä toimii myös Windows 10: ssä, mutta on hieman monimutkaisempi. Molemmat menetelmät edellyttävät, että olet kirjautunut sisään järjestelmänvalvojana.

Jos sinulla on Windows 10, napsauta hiiren kakkospainikkeella näytön vasemmassa alakulmassa olevaa Windows-kuvaketta ja valitse Laitehallinta. Vieritä alas ja laajenna Ohjelmistokomponentit -osio. Napsauta hiiren kakkospainikkeella HP Device Health Service ja valitse Ominaisuudet. Valitse Ohjaimet -välilehti ja katso, mikä HP Device Health Service -versio sinulla on.

Haluat saada version 4.1.4.2827. Jos se on alhaisempi, haluat käynnistää Windows Update -sovelluksen ladataksesi ja asentaaksesi oikean version.

Napsauta näytön vasemmassa alakulmassa olevaa Windows -kuvaketta ja valitse Asetukset -kuvake - se näyttää polkupyörävarusteelta. Napsauta Päivitykset ja suojaus, sitten Windows Update tarvittaessa ja napsauta sitten suurta Tarkista päivitykset -painiketta. Windows hoitaa loput.

LISÄÄ: Parhaat HP -kannettavat

Jos sinulla on aiempi Windows -versio, napsauta näytön vasemmassa alakulmassa olevaa Windows -kuvaketta, avaa Käynnistä -valikko ja valitse Ohjauspaneeli. Voit myös kirjoittaa Ohjauspaneeli hakukenttään. Etsi ja valitse Ohjelmat ja/tai Ohjelmat ja ominaisuudet. Sinun on ehkä myös valittava Poista ohjelma. Etsi HP Touchpoint Analytics Client ja katso, mikä versionumero on sen vieressä.

Jälleen haluat saada version 4.1.4.2827. Jos se on alhaisempi, sinun on päivitettävä se. Valitettavasti Windows Update ei tee tätä puolestasi ennen Windows 10: tä, joten sinun on käytettävä toista työkalua.

Palaa näytön vasempaan alakulmaan ja kirjoita Hallintatyökalut. Kaksoisnapsauta Hallintatyökalut-ikkunassa Tehtävien ajoitus. Napsauta TechPulse Updateria hiiren kakkospainikkeella ja valitse Suorita.

Väärä polku

Ongelma syntyy, koska Touchpoint Analytics/HP Device Health Service käyttää avoimen lähdekoodin ohjelmistoa nimeltä Open Hardware Monitor päästäkseen tietokoneen matalan tason osiin, kuten fyysiseen muistiin ja piilotettuihin levyosioihin. (Voit ladata ja asentaa Open Hardware Monitorin itsellesi täältä.)

Open Hardware Monitor ei määritä tiettyjen koodivarastojen, joita kutsutaan dynaamisiksi linkkikirjastoiksi tai DLL: ksi, sijaintia, eikä tarkista itse DLL -tiedostojen sisältöä. Tämä on järkevää yleisesti sovellettavalle Windows -apuohjelmalle, mutta kun kyseinen apuohjelma muutetaan diagnostiikkaohjelmaksi, jolla on syvät järjestelmän käyttöoikeudet, voi tapahtua huonoja asioita.

Kun Touchpoint Analytics käynnistyy, se etsii DLL-tiedostoja, jotka liittyvät moniin mahdollisiin PC-laitteistoihin, mukaan lukien AMD/ATI: n ja Nvidian kolmannen osapuolen näytönohjaimet. Se etsii näitä DLL -tiedostoja useista todennäköisistä hakemistoista tai tiedostopolkuista.

Nämä tiedostopolut määrittelee järjestelmän laajuinen "ympäristömuuttuja" nimeltä PATH, joka kertoo Touchpoint Analyticsille (ja monille muille Windows-sovelluksille), mistä etsiä DLL-tiedostoja ja muita suoritettavia tiedostoja.

Mutta jos tietokoneessa ei ole kolmannen osapuolen näytönohjainta, oikeita DLL-tiedostoja ei löydy tai ladata. Turvallisuusyrityksen SafeBreach-tutkijat havaitsivat, että he voisivat luoda väärennettyjä versioita AMD/ATI- ja Nvidia-DLL-tiedostoista, muokata koko järjestelmän laajuista PATH-ympäristömuuttujaa lisätäkseen uusia hakemistoja, joihin he laittavat vääriä DLL-tiedostoja, ja antamaan Touchpoint Analyticsin valita ja ladata epäselvät DLL -tiedostot.

Tällainen DLL -kytkin tunnetaan DLL -injektiona, ja se saa ohjelman tekemään asioita, joita sen ei pitäisi tehdä. PC -pelaajat käyttävät joskus DLL -ruiskutusta huijatakseen pelejä, ja haitalliset hakkerit voivat käyttää sitä saadakseen ohjelman suorittamaan haitallisen koodin. (DLL -ruiskutus toimii Mac- ja Unix/Linux -järjestelmissä sekä Windowsissa.)

Koska Touchpoint Analytics toimii järjestelmätasolla, se voi tehdä mitä tahansa Windows -järjestelmässä - mikä tarkoittaa myös sitä, että haittaohjelmat, jotka on ladattu siihen DLL -injektion avulla, voivat myös.

Joten miksi välitämme? Koska…

Ongelmana on, että tavallisella HP Windows -laitteella, joka käyttää oletusmuuttujaa PATH, mikään näistä ei ole mahdollista, ellei sinulla ole jo järjestelmänvalvojan oikeuksia. Mutta tietenkin, jos sinulla on jo järjestelmänvalvojan oikeudet, voit asentaa haittaohjelman joka tapauksessa. Joten saatat ihmetellä, mikä hälytys on.

Vastatessaan kannettavan tietokoneen kysymykseen Hadar sanoi, että haavoittuvuuden laajuus "riippuu uhrin käyttöjärjestelmän PATH -ympäristömuuttujasta".

Toisin sanoen, jos koneessa sattuu olemaan muutoksia PATH-ympäristömuuttujaan, Touchpoint Analytics tai Open Hardware Monitorin toteutukset muissa järjestelmissä saattavat ladata haitallisia DLL-tiedostoja muista kuin järjestelmähakemistoista. Tämä antaisi käyttäjille, joilla on rajoitetut oikeudet, tai rajoitetun käyttäjän asentamille haittaohjelmille pistääkseen haitallisen DLL: n järjestelmätasolla.

"Olemme nähneet joitain tapauksia, joissa muu kuin järjestelmänvalvoja voi käyttää tätä haavoittuvuutta hyväkseen, koska muu kuin järjestelmänvalvoja voi kirjoittaa tietyn PATH-kansion", Hadar kertoi.

Hadar ja SafeBreach löysivät aiemmin tänä vuonna hyvin samankaltaisen virheen Dell-koneissa, mikä johtui myös kolmannen osapuolen ohjelmistoja käyttävästä diagnostiikkapalvelusta.

Kuvaluotto: ReviewsExpert.net