HP Flaw dopušta hakerima da vam otmu računalo: što učiniti - RecenzijeExpert.net

Imate HP prijenosno računalo ili stolno računalo? Morat ćete provjeriti ima li najnovije zakrpe HP softvera.

To je zato što postoji ozbiljna greška u starijim verzijama Touchpoint Analyticsa, poznate i kao HP Device Health Service, dijagnostičkog programa ugrađenog u većinu HP računala sa sustavom Windows. Korisnik ili program s administrativnim pravima mogao bi koristiti Touchpoint Analytics za tiho i trajno instaliranje zlonamjernog softvera na razini sustava, a to bi u određenim slučajevima mogao učiniti i račun s ograničenim brojem korisnika.

HP je 4. listopada riješio ovaj problem pomoću Touchpoint Analytics/HP Device Health Service verzije 4.1.4.2827, no možda svi HP korisnici još nisu primili ažuriranje. Peleg Hadar iz sigurnosne tvrtke SafeBreach ima detaljan tehnički zapis greške u postu na blogu danas (10. listopada), koji sažimamo u nastavku.

Kako biti siguran

Postoje dva načina za provjeru i rješavanje ovog problema - jedan ako imate Windows 10 i jedan ako nemate. Druga metoda radi i za Windows 10, ali je malo složenija. Obje metode zahtijevaju da ste prijavljeni kao administrator.

Ako imate Windows 10, desnom tipkom miša kliknite ikonu Windows u donjem lijevom kutu zaslona i odaberite Upravitelj uređaja. Pomaknite se dolje i proširite odjeljak Softverske komponente. Desnom tipkom miša kliknite HP Device Health Service i odaberite Svojstva. Odaberite karticu Upravljački programi i pogledajte koju verziju HP Device Health Service imate.

Želite imati verziju 4.1.4.2827. Ako je niža, tada želite pokrenuti Windows Update da preuzme i instalira ispravnu verziju.

Kliknite ikonu Windows u donjem lijevom kutu zaslona i odaberite ikonu Postavke - izgleda kao oprema za bicikl. Kliknite Ažuriranja i sigurnost, a zatim Windows Update ako je potrebno, a zatim kliknite veliki gumb Provjeri ažuriranja. Windows će se pobrinuti za ostalo.

VIŠE: Najbolji prijenosni računari HP

Ako imate stariju verziju sustava Windows, kliknite ikonu sustava Windows u donjem lijevom kutu zaslona, skočite izbornik Start i odaberite Upravljačka ploča. Također možete samo unijeti Control Panel u polje za pretraživanje. Pronađite i odaberite Programi i/ili Programi i značajke. Možda ćete također morati odabrati Deinstaliranje programa. Pronađite klijenta HP Touchpoint Analytics i pogledajte koja je verzija navedena pored njega.

Opet, želite imati verziju 4.1.4.2827. Ako je niža, morat ćete je ažurirati. Nažalost, Windows Update to neće učiniti umjesto vas u sustavu prije Windows 10, pa morate upotrijebiti drugi alat.

Vratite se u donji lijevi dio zaslona i upišite Administrativni alati. U prozoru Administrativni alati dvaput kliknite Raspored zadataka. Desnom tipkom miša kliknite TechPulse Updater i odaberite Pokreni.

Silaženje pogrešnom PUTOM

Ovdje nastaje problem jer Touchpoint Analytics/HP Device Health Service koristi softver otvorenog koda pod nazivom Open Hardware Monitor za pristup komponentama niske razine računala, poput fizičke memorije i skrivenih particija diska. (Ovdje možete preuzeti i instalirati Open Hardware Monitor.)

Open Hardware Monitor ne navodi lokaciju određenih spremišta koda koja se nazivaju biblioteke dinamičkih veza ili DLL -ova i ne provjerava sadržaj samih DLL -ova. To ima smisla za univerzalno primjenjiv Windows uslužni program, ali kada se taj uslužni program prenamijeni u dijagnostički program s dubokim privilegijama sustava, mogu se dogoditi loše stvari.

Kada se Touchpoint Analytics pokrene, traži DLL-ove koji se odnose na mnoge moguće vrste hardvera na računalu, uključujući video kartice drugih proizvođača iz AMD/ATI-ja i Nvidije. Pretražuje nekoliko vjerojatnih direktorija ili staza datoteka za te DLL -ove.

Te staze datoteka specificirane su "varijablom okruženja" za cijeli sustav nazvanom PATH koja govori Touchpoint Analyticsu (i mnogim drugim Windows aplikacijama) gdje tražiti DLL-ove i druge izvršne datoteke.

No ako računalo nema video karticu treće strane, odgovarajući DLL-ovi neće se pronaći niti učitati. Istraživači sigurnosne tvrtke SafeBreach otkrili su da bi mogli stvoriti lažne verzije DLL-ova AMD/ATI i Nvidia, izmijeniti sistemsku varijablu okruženja PATH kako bi dodali nove direktorije u koje bi stavili lažne DLL-ove, a Touchpoint Analytics birao i učitavao sumnjive DLL -ovi.

Ova vrsta DLL switchcheroo -a poznata je kao DLL injekcija i tjera program da radi stvari koje ne bi trebao. PC igrači ponekad koriste DLL injekciju za varanje u igrama, a zlonamjerni hakeri mogu je upotrijebiti za pokretanje programa zlonamjernog koda. (DLL injekcija radi na Mac računalima i Unix/Linux sustavima, kao i na Windowsima.)

Budući da se Touchpoint Analytics izvodi na razini sustava, može učiniti sve na Windows sustavu - što znači da i svaki zlonamjerni softver učitan u njega putem DLL injekcije može.

Pa zašto nas je briga? Jer…

Kvaka je u tome što na standardnom HP Windows stroju koji koristi zadanu varijablu PATH ništa od ovoga nije moguće ako već nemate administratorske ovlasti. Ali naravno, ako već imate administratorske ovlasti, svejedno možete instalirati zlonamjerni softver. Stoga se možda pitate što je to negodovanje.

Odgovarajući na pitanje Laptopa, Hadar je rekao da opseg ranjivosti "ovisi o varijabli okruženja PATH operacijskog sustava žrtve".

Drugim riječima, ako slučajno stroj ima postojeće izmjene varijable okruženja PATH, tada bi Touchpoint Analytics ili implementacije Open Hardware Monitor-a na drugim sustavima mogli učitati zlonamjerne DLL-ove iz direktorija izvan sustava. To bi omogućilo korisniku s ograničenim privilegijama ili zlonamjernim softverom instaliranim na računu ograničenog korisnika da ubaci zlonamjerni DLL na razini sustava.

"Vidjeli smo neke slučajeve u kojima je ovu ranjivost mogao iskoristiti korisnik koji nije administrator, jer je u određenu mapu u PATH-u mogao pisati ne-administrator", rekao nam je Hadar.

Hadar i SafeBreach otkrili su vrlo sličan nedostatak ranije ove godine u Dell strojevima koji je također uzrokovan dijagnostičkom uslugom koja je koristila softver treće strane.

Kredit za sliku: ReviewsExpert.net