HP ha rilasciato un update per i driver di centinaia di diverso modelli di notebook per rimuovere del codice di debug che un attaccante potrebbe usare come componente keylogger.
Cos'è
Il componente in questione è il file SynTP.sys, contenuto nel driver Synaptics Touchpad integrato nei notebook HP. La funzione è disattivata per impostazione predefinita, ma può essere attivata semplicemente modificando il valore di una voce di registro.
La chiave di registro è
Un attaccante potrebbe usare la chiave di registro per abilitare il keylogging e spiare tutto ciò che gli utenti digitano sulla tastiera. La gravità della cosa è legata alla facilità con la quale è possibile sfruttare questo problema: tutto ciò che serve ad un attaccante è bypassare i prompt UAC quando
avviene la modifica della chiave di registro. Ci sono decine di metodi attualmente disponibili per bypassare i prompt UAC, alcuni basati sull'uso di appositi tool open source gratuitamente disponibili in rete.
Cosa faLa chiave di registro è
HKLM\Software\Synaptics\%ProductName% HKLM\Software\Synaptics\%ProductName%\Default
Un attaccante potrebbe usare la chiave di registro per abilitare il keylogging e spiare tutto ciò che gli utenti digitano sulla tastiera. La gravità della cosa è legata alla facilità con la quale è possibile sfruttare questo problema: tutto ciò che serve ad un attaccante è bypassare i prompt UAC quando
avviene la modifica della chiave di registro. Ci sono decine di metodi attualmente disponibili per bypassare i prompt UAC, alcuni basati sull'uso di appositi tool open source gratuitamente disponibili in rete.
Il keylogger non è pericoloso in se in quanto tale, ma è l'uso che un malintenzionato potrebbe farne il problema. Il componente è infatti in grado di registrare qualsiasi cosa venga digitato sulla tastiera e pertanto appropriarsi di dati sensibili come ad esempio account e password di online banking. Il componente agisce a livello di Kernel, pertanto il suo utilizzo passerebbe inosservato.
La reazione
L'azienda ha dichiarato di essere a conoscenza della presenza del keylogger, ma che questo altro non è che una traccia di codice di debug lasciata accidentalmente e ora rimossa. Precisano poi che "per poterla utilizzare servirebbero i privilegi amministrativi" e che "Ne HP ne Synaptics hanno accesso ai dati dei loro clienti"(per quanto riguarda questo problema nello specifico). HP ha quindi rilasciato una lista dei modelli afflitti da questo problema, visualizzabile qui. Nella stessa pagina è possibile scaricare gli update del firmware. I ricercatori di terze parti concordano comunque nell'affermare che la componente keylogger non è stata inserita con cattive intenzioni: era uno strumento utile agli sviluppatori per individuare eventuali bug.
Il mio laptop è infetto?
Bleepingcomputer ci segnala come scoprire se il nostro laptop ha o meno questo problema. Il procedimento da seguire è:
- Andare nella cartella dei drive qui:
C:\Windows\System32\drivers folder e vedere le proprietà del SynTP.sys driver e verificare le proprietà di SynTP.sys (vedi immagine sotto)
Fonte: bleepingcomputer.com |
- Se la versione è indicata come 19.3.11.37 16Aug16, allora il vostro driver contiene il keylogging/traccia di debug.
- Agli utenti che hanno questo driver installato consigliamo di procedere prima possibile all'update dei driver all'ultima versione, alla pagina di supporto di HP.
- Una volta installato l'updte, il driver SynTP.sys verrà sostituito con la versione dalla quale è stata rimossa la traccia di debug: in questa versione la componente di keylogging è stata rimossa.
- Chi invece aggiorna regolarmente il software sul proprio laptop dovrebbe già essere al sicuro: gli update sono infatti stati rilasciati ai primi di Novembre, quando il ricercatore Michael Myng aveva riportato il bug ad HP.
Nessun commento:
Posta un commento