image

Onderzoekers ontdekken keylogger in HP-audiodriver

donderdag 11 mei 2017, 12:52 door Redactie, 9 reacties

Onderzoekers van het Zwitserse beveiligingsbedrijf modzero hebben een keylogger in een audiodriver van Hewlett-Packard ontdekt die allerlei toetsaanslagen in een logbestand opslaat. Het gaat om een door audiochipfabrikant Conexant ontwikkelde driver voor geluidskaarten met een Conexant-chip.

HP-computers maken van de Conexant-chips gebruik, waarbij de computergigant de drivers van Conexant via de eigen website aanbiedt. Via de drivers kan de software met de hardware communiceren. Bij bepaalde computermodellen is deze controle nog verder uitgebreid, waarbij de audiohardware via bepaalde toetsen is te bedienen. Het gaat dan bijvoorbeeld om het in- of uitschakelen van de microfoon via speciale toetsen op het toetsenbord. Deze ondersteuning in de drivercode lijkt speciaal voor HP-computers te zijn ontwikkeld en zorgt ervoor dat alle toetsenbordaanslagen worden opgevangen en verwerkt.

Zodoende kan de software herkennen of er een speciale toets is ingedrukt om de hardware te bedienen. Volgens de onderzoekers van modzero hebben de ontwikkelaars van de driver verschillende diagnostische en debuggingfeatures toegevoegd die ervoor zorgen dat alle toetsaanslagen via een debugginginterface worden uitgezonden of in een logbestand in een map op de harde schijf worden opgeslagen.

"Deze vorm van debugging verandert de audiodriver in een keylogger", aldus onderzoeker Thorsten Schroeder. De keylogger zou sinds eind 2015 in de audiodriver aanwezig zijn. Een latere versie van de driver vergrootte het probleem, omdat alle toetsaanslagen in een publiek logbestand worden bewaard. Hoewel het bestand bij elk login van de gebruiker wordt overschreven zou de inhoud eenvoudig door forensische tools zijn te monitoren.

Geen opzet

"Als je regelmatig een incrementele back-up van je harde schijf maakt, in de cloud of op een externe harde schijf, is er waarschijnlijk in je back-ups een geschiedenis van alle toetsaanslagen van de afgelopen jaren terug te vinden", laat Schroeder weten. Hij merkt op dat er geen aanwijzingen zijn dat de keylogger opzettelijk aan de driver is toegevoegd. "Het is nalatigheid van de ontwikkelaars, maar dat maakt de software niet minder schadelijk" , gaat de onderzoeker verder. Modzero waarschuwde zowel Conexant als HP voor de keylogger, maar kreeg geen reactie op het rapport. Daarop zijn de bevindingen openbaar gemaakt.

Eigenaren van een HP-computer krijgen het advies om te controleren of het programma C:\Windows\System32\MicTray64.exe of C:\Windows\System32\MicTray.exe op de computer geïnstalleerd is. Vervolgens moet het worden verwijderd of hernoemd, zodat de toetsaanslagen niet meer worden opgeslagen. Dit kan er echter wel voor zorgen dat de speciale toetsen op het toetsenbord niet meer werken. Verder moet het bestand C:\Users\Public\MicTray.log worden verwijderd, aangezien het gevoelige informatie zoals inloggegevens en wachtwoorden kan bevatten.

Reacties (9)
11-05-2017, 13:03 door bollie
Heel erg goed dat dit soort dingen meer en meer naar buiten komen. Ik vind het een heftig lek....En dat de fabrikant dit niet belangrijk vindt/begrijpt/wil zien maakt het des te belangrijker dat dit publiek wordt bekend gemaakt.
11-05-2017, 13:08 door ph-cofi
Het is de maand van de ongelofelijke kwetsbaarheden, of zo!
Speciale audiotoetsen op toetsenborden bestaan al ... minstens 12 jaar, maar alle toetsaanslagen voor debugging opsturen naar een fabrikant?
11-05-2017, 13:18 door Whacko
Door ph-cofi: Het is de maand van de ongelofelijke kwetsbaarheden, of zo!
Speciale audiotoetsen op toetsenborden bestaan al ... minstens 12 jaar, maar alle toetsaanslagen voor debugging opsturen naar een fabrikant?
Er wordt niks naar de fabrikant gestuurd, alleen opgeslagen in een bestand. Maar nog steeds een zeer vervelend lek.
11-05-2017, 13:29 door ph-cofi
Door Whacko:
Door ph-cofi: Het is de maand van de ongelofelijke kwetsbaarheden, of zo!
Speciale audiotoetsen op toetsenborden bestaan al ... minstens 12 jaar, maar alle toetsaanslagen voor debugging opsturen naar een fabrikant?
Er wordt niks naar de fabrikant gestuurd, alleen opgeslagen in een bestand. Maar nog steeds een zeer vervelend lek.
Ik hoop het, want de tekst is niet helemaal eenduidig:
all keystrokes are either broadcasted through a debugging interface or written to a log file in a public directory on the hard-drive.
Het tweede geval lijkt me inderdaad zeer vervelend, het eerste is meer zeer schandalig.
11-05-2017, 13:34 door Anoniem
Als een ander proces dat bestand kan lezen dan kan het ook gewoon zelf SetWindowsHookEx aanroepen en backups bevatten wel meer gevoelige gegegeven.

Slordig maar impact lijkt laag.
11-05-2017, 13:53 door Whacko
Door ph-cofi:
Door Whacko:
Door ph-cofi: Het is de maand van de ongelofelijke kwetsbaarheden, of zo!
Speciale audiotoetsen op toetsenborden bestaan al ... minstens 12 jaar, maar alle toetsaanslagen voor debugging opsturen naar een fabrikant?
Er wordt niks naar de fabrikant gestuurd, alleen opgeslagen in een bestand. Maar nog steeds een zeer vervelend lek.
Ik hoop het, want de tekst is niet helemaal eenduidig:
all keystrokes are either broadcasted through a debugging interface or written to a log file in a public directory on the hard-drive.
Het tweede geval lijkt me inderdaad zeer vervelend, het eerste is meer zeer schandalig.
Ben zelf programmeur... met een "debugging interface" wordt doorgaans een methode bedoeld waarmee een ander programma verbinding kan maken met het "te debuggen" programma om zo fouten op te sporen. Dit is bij het ontwikkelen van software van belang en wordt doorgaans uitgeschakeld na oplevering. Dit is geen verbinding die via internet gaat en is alleen op de machine zelf te gebruiken.
Kwaadwillende software zou dus verbinding kunnen maken met de driver om zo direct toegang te krijgen met de toetsaanslagen in plaats van deze uit een bestand te moeten lezen
11-05-2017, 17:48 door Anoniem
Je kan alles van HP zeggen, maar ik vind ze wel supergoedkoop bij HP.
Soms lees ik in kleine advertenties: 3x HP voor maar 100 euro.....
(zo een grote advertentie wordt dan natuurlijk te duur he)
11-05-2017, 20:29 door Anoniem
Door Whacko:
Door ph-cofi:
Door Whacko:
Door ph-cofi: Het is de maand van de ongelofelijke kwetsbaarheden, of zo!
Speciale audiotoetsen op toetsenborden bestaan al ... minstens 12 jaar, maar alle toetsaanslagen voor debugging opsturen naar een fabrikant?
Er wordt niks naar de fabrikant gestuurd, alleen opgeslagen in een bestand. Maar nog steeds een zeer vervelend lek.
Ik hoop het, want de tekst is niet helemaal eenduidig:
all keystrokes are either broadcasted through a debugging interface or written to a log file in a public directory on the hard-drive.
Het tweede geval lijkt me inderdaad zeer vervelend, het eerste is meer zeer schandalig.
Ben zelf programmeur... met een "debugging interface" wordt doorgaans een methode bedoeld waarmee een ander programma verbinding kan maken met het "te debuggen" programma om zo fouten op te sporen. Dit is bij het ontwikkelen van software van belang en wordt doorgaans uitgeschakeld na oplevering. Dit is geen verbinding die via internet gaat en is alleen op de machine zelf te gebruiken.
Kwaadwillende software zou dus verbinding kunnen maken met de driver om zo direct toegang te krijgen met de toetsaanslagen in plaats van deze uit een bestand te moeten lezen

... en er is geen virusscanner die dat gedrag opmerkt als kwaadaardig. In onze organisatie hebbben we een kleine 700 pcs met deze executable. Eerste diagnose is dat volumeknoppen blijven werken na een rename van deze file. Dit hebben we nog niet op alle modellen getest.

De driver op de site van HP is nog steeds kwetsbaar (niet zo gek, HP is pas op 1 mei ingelicht)

2 ernstige lekken in korte tijd (intel amt was de vorige die de alarmbellen heeft doen rinkelen)
12-05-2017, 10:34 door ph-cofi - Bijgewerkt: 12-05-2017, 10:34
@Whacko, bedankt voor uw toelichting, ik begrijp de situatie nu beter.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.