В Hewlett-Packard обнаружили шпионскую "закладку"

Независимый ИБ-специалист Майкл Минг (Michael Myng) сообщил, что обнаружил странную функциональность в файле SynTP.sys, который является частью драйвера Synaptics Touchpad, использующегося во многих моделях ноутбуков компании HP.

h well. Keylogger in HP's SynTP.sys. Off by default. Vendor contacted. Fix released and pushed. Blog post is on the way.
— ZwClose (@zwclose) December 6, 2017
Минг уже опубликовал подробный технический отчет, в котором объяснил, что функциональность, фиксирующая все нажатия клавиш, по умолчанию отключена, однако для ее включения понадобится лишь внести небольшие изменения в реестр.
Исследователь пишет, что этим встроенным в ноутбуки HP кейлоггером могут воспользоваться злоумышленники. Активировав это «штатное средство слежения», преступники получат немалое преимущество, ведь такой кейлоггер не вызовет никаких подозрений у антивирусных продуктов. По сути, хакерам понадобится только обойти UAC и внести коррективы в реестр (напомню, что способов обхода UAC насчитывается более десятка).

После того как специалист сообщил разработчикам HP о своей «находке», те признали, что данная функциональность была забыта в коде случайно, и исходно она предназначалась для отладки и тестирования.
На сайте HP можно найти список моделей ноутбуков, уязвимых перед данной проблемой. Как оказалось, «спящий» кейлоггер был представлен более чем в 450 устройствах, из которых 303 модели – это обычные потребительские лэптопы, а еще 172 модели ориентированы на коммерческий рынок. В списке числятся устройства из линеек mt**, 15*, OMEN, ENVY, Pavilion, Stream, ZBook, EliteBook, а также серии ProBook и Compaq.
Инженеры HP уже опубликовали патчи, удаляющие кейлоггер из кода, так что пользователям уязвимых ноутбуков рекомендуется обновиться.
Напомню, что это не первый случай, когда в устройствах HP обнаруживают шпионскую функциональность. Так, весной 2017 года, кейлоггер был найден в составе Conexant HD Audio Driver Package. Как оказалось, аудиодрайвер «запоминает» все нажатия клавиш и сохраняет информацию в локальный файл, доступный любому желающему.


Исследователи из швейцарской компании Modzero обнаружили неприятную проблему в ноутбуках HP. Как оказалось, Conexant HD Audio Driver Package версии 1.0.0.46 можно смело назвать кейлоггером, так как аудиодрайвер «запоминает» все нажатия клавиш и сохраняет информацию в локальный файл, доступный любому желающему.
Специалисты объясняют, что приложение MicTray64.exe, представленное на ноутбуках HP, отслеживает все нажатия на клавиши, которые пользователь совершает во время работы с устройством. Приложение делает это для того, чтобы обнаружить, если пользователь нажимает на клавиши управления звуком, к примеру, на кнопки mute или изменения громкости. Но проблема заключается не в самом факте мониторинга, а в том, что аудиодрайвер сохраняет все собранные данные в файле MicTray.log, расположенном в папке Users/Public. Файл перезаписывается каждый раз, когда пользователь входит в систему.
Прочитать или скопировать этот файл может кто угодно, начиная от людей, которые имеют физический доступ к машине, и заканчивая удаленными атакующими, которым удалось заразить устройство вредоносным ПО.
Ugh! Upgraded to latest HP / Conexant audio driver, and it started to log every key I pressed. Ping @samilaiho @AdaptivaAmi @mod0 pic.twitter.com/1q3eULocIO
— Johan Arwidmark (@jarwidmark) May 11, 2017
Если вышеуказанный файл не существует, или ключ реестра, отвечающий за путь к файлу, был поврежден, аудиодрайвер передает собранную информацию локальному API OutputDebugString. В теории это позволяет злоумышленникам и установленной ими малвари, следить за пользователем в режиме реального времени, не обращаясь к функциям Windows и не привлекая внимания антивирусного ПО.
Аналитики Modzero отмечают, что Conexant HD Audio Driver Package вряд ли задумывался как кейлоггер и устанавливался на устройства, чтобы шпионить за владельцами лэптопов. Аудиодрайвер можно обнаружить в 28 моделях ноутбуков:
* HP EliteBook 820 G3 Notebook PC
* HP EliteBook 828 G3 Notebook PC
* HP EliteBook 840 G3 Notebook PC
* HP EliteBook 848 G3 Notebook PC
* HP EliteBook 850 G3 Notebook PC
* HP ProBook 640 G2 Notebook PC
* HP ProBook 650 G2 Notebook PC
* HP ProBook 645 G2 Notebook PC
* HP ProBook 655 G2 Notebook PC
* HP ProBook 450 G3 Notebook PC
* HP ProBook 430 G3 Notebook PC
* HP ProBook 440 G3 Notebook PC
* HP ProBook 446 G3 Notebook PC
* HP ProBook 470 G3 Notebook PC
* HP ProBook 455 G3 Notebook PC
* HP EliteBook 725 G3 Notebook PC
* HP EliteBook 745 G3 Notebook PC
* HP EliteBook 755 G3 Notebook PC
* HP EliteBook 1030 G1 Notebook PC
* HP ZBook 15u G3 Mobile Workstation
* HP Elite x2 1012 G1 Tablet
* HP Elite x2 1012 G1 with Travel Keyboard
* HP Elite x2 1012 G1 Advanced Keyboard
* HP EliteBook Folio 1040 G3 Notebook PC
* HP ZBook 17 G3 Mobile Workstation
* HP ZBook 15 G3 Mobile Workstation
* HP ZBook Studio G3 Mobile Workstation
* HP EliteBook Folio G1 Notebook PC
Избавиться от MicTray64.exe достаточно просто. Для начала стоит запустить Task Manager и проверить, запущен ли процесс MicTray64.exe вообще. Если процесс наличествует, его следует завершить. После этого следует удалить само приложение, избавившись от C:\Windows\System32\MicTray64.exe и C:\Windows\System32\MicTray.exe. Перед этим специалисты также рекомендуют проверить содержимое файла C:\Users\Public\MicTray.log, а после удалить и его. Если в логе содержатся пароли, логины, данные банковских аккаунтов и так далее, следует немедленно сменить все учетные данные, которые могли подвергнуться компрометации.
Специалисты компании HP уже признали наличие проблемы и сообщают, что работают над ее устранением.  Также в компании подчеркнули, что HP не имеет доступа к личным данным своих пользователей, а функциональность кейлоггера была добавлена в Conexant HD Audio Driver Package по ошибке.