锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务,锦州广厦维修电脑,公司IT外包服务
topFlag1 设为首页
topFlag3 收藏本站
 
maojin003 首 页 公司介绍 服务项目 服务报价 维修流程 IT外包服务 服务器维护 技术文章 常见故障
锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务技术文章
关于惠普笔记本音频驱动存在内置键盘记录器后门漏洞的安全公告

作者: 佚名  日期:2017-07-09 14:08:14   来源: 本站整理

 摘要: 近期,国家信息安全漏洞共享平台(CNVD)收录了惠普笔记本音频驱动内置键盘记录器后门漏洞 (CNVD-2017-09590,对应编号CVE-2017-8360)。攻击者可利用在当前用户会话中运行的任何进程监控调试信息,记录用户通过键盘输入的任意内容,包括用户...

近期,国家信息安全漏洞共享平台(CNVD)收录了惠普笔记本音频驱动内置键盘记录器后门漏洞 (CNVD-2017-09590,对应编号CVE-2017-8360)。攻击者可利用在当前用户会话中运行的任何进程监控调试信息,记录用户通过键盘输入的任意内容,包括用户输入的密码等敏感数据,构成较为严重的信息泄露和运行安全风险。

一、漏洞情况分析

2017年4月28日,瑞士安全公司Modzero的安全研究员Thorsten Schroeder在审查Windows Active Domain的基础设施时发现,惠普IT产品(笔记本电脑)中的Conexant音频驱动程序内置了用于调试产品的MicTray64.exe(键盘记录器),可记录用户的所有按键输入。在原出厂环境下,MicTray64.exe与Conexant音频驱动程序包被同时安装在笔记本电脑中,键盘记录功能除了处理快捷键/功能键的点击事件外,所有的键盘输入信息都会被写入所有用户权限都可读的路径中的日志文件(C:UsersPublicMicTray.log)中,甚至会传递给OutputDebugString API,这使得任何可以调用MapViewOfFile API的框架或者进程都能够通过用户的键盘输入信息静默的收集敏感数据,并在白名单机制下绕过杀毒软件检测。

CNVD对漏洞的综合评级为“高危”。

二、漏洞影响范围

受漏洞影响的硬件产品型号:

HP EliteBook 820 G3 Notebook PC

HP EliteBook 828 G3 Notebook PC

HP EliteBook 840 G3 Notebook PC

HP EliteBook 848 G3 Notebook PC

HP EliteBook 850 G3 Notebook PC

HP ProBook 640 G2 Notebook PC

HP ProBook 650 G2 Notebook PC

HP ProBook 645 G2 Notebook PC

HP ProBook 655 G2 Notebook PC

HP ProBook 450 G3 Notebook PC

HP ProBook 430 G3 Notebook PC

HP ProBook 440 G3 Notebook PC

HP ProBook 446 G3 Notebook PC

HP ProBook 470 G3 Notebook PC

HP ProBook 455 G3 Notebook PC

HP EliteBook 725 G3 Notebook PC

HP EliteBook 745 G3 Notebook PC

HP EliteBook 755 G3 Notebook PC

HP EliteBook 1030 G1 Notebook PC

HP ZBook 15u G3 Mobile Workstation

HP Elite x2 1012 G1 Tablet

HP Elite x2 1012 G1 with Travel Keyboard

HP Elite x2 1012 G1 Advanced Keyboard

HP EliteBook Folio 1040 G3 Notebook PC

HP ZBook 17 G3 Mobile Workstation

HP ZBook 15 G3 Mobile Workstation

HP ZBook Studio G3 Mobile Workstation

HP EliteBook Folio G1 Notebook PC

受漏洞影响的操作系统

Microsoft Windows 10 32

Microsoft Windows 10 64

Microsoft Windows 10 IOT Enterprise 32-Bit (x86)

Microsoft Windows 10 IOT Enterprise 64-Bit (x86)

Microsoft Windows 7 Enterprise 32 Edition

Microsoft Windows 7 Enterprise 64 Edition

Microsoft Windows 7 Home Basic 32 Edition

Microsoft Windows 7 Home Basic 64 Edition

Microsoft Windows 7 Home Premium 32 Edition

Microsoft Windows 7 Home Premium 64 Edition

Microsoft Windows 7 Professional 32 Edition

Microsoft Windows 7 Professional 64 Edition

Microsoft Windows 7 Starter 32 Edition

Microsoft Windows 7 Ultimate 32 Edition

Microsoft Windows 7 Ultimate 64 Edition

Microsoft Windows Embedded Standard 7 32

Microsoft Windows Embedded Standard 7E 32-Bit

注:其它使用了Conexant硬件和驱动器的硬件厂商也有可能受该问题影响。

三、漏洞修复建议

惠普针对该情况紧急发布过一个关闭此调试功能的修复程序。2017年5月14日,惠普又发布了更新的修复驱动程序,该程序能将所有高保真音频驱动中有此调试记录功能的源代码删除。受影响的惠普电脑对应修复程序的列表请参考惠普官网: https://support.hp.com/us-en/document/c05519670

如未能升级,可以采用如下临时解决方案:

删除MicTray可执行文件和相应的日志记录文件。仅仅删除计划任务是不能解决问题的,因为Windows服务CxMonSvc将再一次启动MicTray。删除文件位置如下:

可执行文件的位置:C:WindowsSystem32MicTray64.exe

日志文件的位置:C:UsersPublicMicTray.log

附:参考链接:

https://newsblog.ext.hp.com/t5/HP-newsroom-blog/Modzero-report-on-keylogger-issue/ba-p/937?from=groupmessage

https://www.modzero.ch/advisories/MZ-17-01-Conexant-Keylogger.txt

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09590

稿源:国家互联网应急中心



热门文章
  • 机械革命S1 PRO-02 开机不显示 黑...
  • 联想ThinkPad NM-C641上电掉电点不...
  • 三星一体激光打印机SCX-4521F维修...
  • 通过串口命令查看EMMC擦写次数和判...
  • IIS 8 开启 GZIP压缩来减少网络请求...
  • 索尼kd-49x7500e背光一半暗且闪烁 ...
  • 楼宇对讲门禁读卡异常维修,读卡芯...
  • 新款海信电视机始终停留在开机界面...
  • 常见打印机清零步骤
  • 安装驱动时提示不包含数字签名的解...
  • 共享打印机需要密码的解决方法
  • 图解Windows 7系统快速共享打印机的...
  • 锦州广厦电脑上门维修

    报修电话:13840665804  QQ:174984393 (联系人:毛先生)   
    E-Mail:174984393@qq.com
    维修中心地址:锦州广厦电脑城
    ICP备案/许可证号:辽ICP备2023002984号-1
    上门服务区域: 辽宁锦州市区
    主要业务: 修电脑,电脑修理,电脑维护,上门维修电脑,黑屏蓝屏死机故障排除,无线上网设置,IT服务外包,局域网组建,ADSL共享上网,路由器设置,数据恢复,密码破解,光盘刻录制作等服务

    技术支持:微软等