Schwere Sicherheitslücke in Conexants Mikrofontreiber, HP Business Books betroffen!

GrandAdmiralThrawn

Kurzfassung: Auf den Teilen läuft - wenn Windows und der Conexant Mikrofontreiber installiert sind - ein Keylogger, der in alten Versionen auf die Debug API und in neueren Versionen in C:\Users\Public\MicTray.log logged, und zwar alles. Die Debugkonsole ist von jedem Prozeß des Nutzers auslesbar, die Datei sogar von allen Nutzern eines Systems.

Aufgabe des Treibers bzw. dessen Userspacekomponente ist es eigentlich nur, auf Mic on/off Keypresses zu lauschen. Obwohl die Sache an HP und Conexant unter Verschluß gemeldet wurde, gab es keine Reaktion, womit die Lücke nun [öffentlich] ist!

Vorgehen:

Taskmanager starten, Prozeß MicTray64.exe töten!
Datei C:\Windows\system32\MicTray64.exe verschieben oder löschen!
Datei C:\Users\Public\MicTray.log bzw C:\Benutzer\Öffentlich\MicTray.log verschieben oder löschen!
Ggf. Maschine neustarten, um die Debug API zu resetten und um zu verifizieren, daß MicTray64.exe auch wirklich nicht mehr gestartet wird!

Auswirkungen:

Der Keylogger ist in jedem Fall deaktiviert.
Die Fn Mikrofon-Hotkeys funktionieren jetzt nicht mehr.

Dachte mir ich poste das hier rein, weil's ja einige Leute hier gibt, die Infrastrukturen mit HP Hardware und Windows betreuen.

Edit: Kann natürlich gut sein, daß es andere Maschinen mit Conexant Mikrofonen auch betrifft, also von Fall zu Fall prüfen.. Ich weiß nicht, ob das wirklich HP-spezifisch ist.

LoB

Starkes Stück. "Extrem" finde ich übertrieben, die Experten stufen es ja auch "nur" als High/medium ein.
Extrem war das, was da gerade mit dem Windows Defender passiert war, da es von außen ohne Mitwirkung des lokalen Nutzers ausnutzbar war: https://www.heise.de/security/meldu…en-3706615.html

Bei der HP-Lücke ist ja im Grunde nur ein Impact, wenn etwas/jemand auf diese Datei lesend zugreift - das heisst wenn Dein System eh schon kompromittiert ist. Und wenn das der Fall ist, kann auch einfach ein eigener Keylogger installiert werden.

Anyway, danke für die Info! Habe mal bei meiner Lenovo-Kiste geschaut, da gibt es die Datei nicht. (Anderer sound-chipsatz).

GrandAdmiralThrawn

Das betrifft nicht nur kompromittierte Maschinen bitte! Auf diese Daten kann jeder Benutzer zugreifen, da braucht man noch nicht Mal von einer echten Malware ausgehen, jedes Multiusersystem mit dem Treiber ist betroffen.

Alle Keypresses ungefiltert in die Debug API oder in eine global lesbare Datei zu loggen, das halte ich sehr wohl für extrem. Alle Passwörter stehn da Mal locker lässig plaintext drin... Das is bitte Critical auf einem Multiuser OS.

LoB

Verstehe ich, ist für mich trotzdem nicht "extrem". Sobald ich jemandem, dem ich nicht traue, Zugriff auf meine Maschine gebe, sehe ich das System als kompomittiert an.
Ja, die Lücke ist schlimm. Nein, sie ist nicht extrem. Kein Vergleich zu der beispielhaft erwähnten Defender-Sicherheitslücke, denn:

1. Angriffsvektor VIEL kleiner: Man braucht mindestens logischen Zugriff auf die Maschine (Defender-Lücke: nicht nötig)
2. Auswirkung VIEL kleiner: Man kann nur lesen, nichts manipulieren, es sei denn die Manschine ist eben schon komprommittiert. (Defender-Lücke: Codeausführung mit Systemberechtigung möglich)
3. Verbreitung viel geringer: "Nur" Maschinen mit diesem Chipsatz und Windows sind betroffen (Defender-Lücke: Alle Windows-Maschinen)

GrandAdmiralThrawn

Ich denke wir definieren das sprachlich anders.

Jeder Keylogger der Plaintext leaked ist für mich extrem, auch wenn nicht remote zugreifbar. Umso mehr, wenn der Zugriff auf den Text ned Mal irgendwelche A/V Heuristiken triggered, weil das völlig legitime Dateizugriffe und API Calls sind.

Das beim Defender bzw. der Microsoft Malware Protection Engine (die ist ja in weit mehr Diensten drin, als nur im Defender!) kann ich gar nicht mehr in ein passendes Adjektiv kleiden, wenn wir die beiden direkt gegenüberstellen. Geht ned mehr, is zu weit auseinander. Nicht nur der Lücke an sich wegen, sondern weil es einfach unfaßbar ist, daß ein Entwickler von Sicherheitssoftware SOWAS baut. So eine Unfähigkeit darf in dem Bereich eigentlich nicht sein.

LoB

Ja, genau. Da sieht man das Problem. Wenn man bei mittleren/schweren Sicherheitslücken schon Superlative verwendet, bleibt für die wirklich schweren eben kein sprachlicher Spielraum mehr. Zweites Problem: Wenn "immer" mit Superlativen agiert wird, wird irgendwann nichts mehr für wichtig genommen...

Du hast Recht mit der unterschiedlichen sprachlichen Definition.
Es gibt nunmal Methoden, Sicherheitslücken zu bewerten. Wahrscheinlichkeit der Ausnutzung, Schwierigkeit, Auswirkung, Verbreitung, ...
Wenn man sich auf soetwas nicht einigt, sind die Wörter wie "extrem", schwer, medium nicht aussagekräftig, weil eben jeder etwas anderes mit dem Wort verbindet. Und diese Definitionen werden von Profis gemacht. Die sind im hiesigen Fall darzu gekommen das als High/Medium einzustufen.

GrandAdmiralThrawn

Wer hat's eigentlich schon rated? Bei der CVE steht noch nichts..

btw. Superlative war's eh keine.

LoB

Zitat von GrandAdmiralThrawn

Wer hat's eigentlich schon rated? Bei der CVE steht noch nichts..

In der von Dir verlinkten Textdatei, Zeile 96.

Zitat von GrandAdmiralThrawn

btw. Superlative war's eh keine.

Touché

GrandAdmiralThrawn

Ajo, die haben's selber rated. Müßte Mal nachschaun wer diese Modzero Leute eigentlich sind. Habe beim Auffliegen dieser Lücke erstmals von denen gehört.

OutOfRange

Finde ich ebenfalls enorm bedenklich, ich frage mich aber was anderes: Wieso loggt der Treiber überhaupt irgendwas ?
Es ist nicht so, dass man da einfach mal irgend eine Codezeile verhauen hat. Irgendwer hat aus irgend einem Grund eine Routine geschrieben, welche die Datei erzeugt und die Daten aufzeichnet. Das könnte grundlegend noch aus irgend einer Debuggeschichte stammen (ich kenne das selber, dass man teilweise bei Sondertasten oder -zeichen einfach mal loggt und schaut, was das System da zurückwirft), warum das aber einfach so verblieben ist... erstaunlich.

hutzeputz

Okay Dankeschön für den Tipp! Da werde ich gleich mal unser Firmennetzwerk danach durchsuchen...

GrandAdmiralThrawn

Das is ziemlich sicher eine Debugfunktion. Wenn ich einen Keypress Monitor schreiben würde, würde ich es genau so machen: Die Keypresses in einen stdout/stderr Stream o.ä umleiten. Die haben's halt in die Windows Debug API geschrieben, was ja auch Sinn macht für Windows Entwickler. Die spätere Version, die in ein File schreibt war wohl einfach simpler im Umgang. Die Entdecker der Lücke meinten auch, es gäbe keine Spuren für ein vorsätzlich böswilliges Verhalten des Programms.

Auch klar ist: Debugfunktionen vergißt man gerne Mal zu entfernen, vor allem wenn man ein unterbezahlter Codemonkey ist.

Ich rename Mal den Thread, der Linguistik wegen.

GrandAdmiralThrawn

Statement von HP, fällt ziemlich genau so aus wie erwartet:

HP is committed to the security and privacy of its customers and we are aware of the keylogger issue on select HP PCs. HP has no access to customer data as a result of this issue. Our supplier partner developed software to test audio functionality prior to product launch and it should not have been included in the final shipped version. Fixes will be available via HP.com.
HP security advisory: will be made available May 12

Chosen_One

Zitat von OutOfRange

Finde ich ebenfalls enorm bedenklich, ich frage mich aber was anderes: Wieso loggt der Treiber überhaupt irgendwas ?
Es ist nicht so, dass man da einfach mal irgend eine Codezeile verhauen hat. Irgendwer hat aus irgend einem Grund eine Routine geschrieben, welche die Datei erzeugt und die Daten aufzeichnet. Das könnte grundlegend noch aus irgend einer Debuggeschichte stammen (ich kenne das selber, dass man teilweise bei Sondertasten oder -zeichen einfach mal loggt und schaut, was das System da zurückwirft), warum das aber einfach so verblieben ist... erstaunlich.

Deine Vermutung ist wohl richtig. Um die Sondertasten zu prüfen, die Dinge mit dem Audio machen (Lauter, Leiser, Stumm, etc. pp.) wurde alles gesammelt.

GrandAdmiralThrawn

So, ein Treiber mit Datum 11.05. ist da, Version bei HP ist 10.0.931.90 Rev.Q. Erstellt kein Logfile, und laut DebugView logged er auch nicht mehr in die Debug API. Heute soll auch eine Version für ältere Books ab 2015 (seit damals liegt die Lücke scheints vor) veröffentlicht werden, ob die schon da ist weiß ich aber grade ned.

Einfach Mal öffentlich machen hilft scheinbar schon ned so wenig, rofl. Noch ned Mal unhöflich warens bei Modzero, haben HP eh lange vorher schon gewarnt.. Najo. Scheinbar wird erst reagiert, wenn der Panikmodus zwangsausgelöst wird. Wenn andere Hersteller dasselbe Problem haben, werden's nach dem Debakel wohl zeitnah nachziehen.

Chosen_One

Mir gefällt responsible disclosure auch mehr als full disclosure. Das nur, wenn das Unternehmen bockig wird.

Das mit dem Reagieren ist so eine Sache. Wenn Tavis Ormandy auf Twitter eine Firma antriggert sie mögen sich bitte einmal melden, geht das i.d.R. enorm schnell. Aber den kennt man nun auch.

Voodoo_Freak

Hatte davon auch gestern auf CB gelesen. Finde ich schon ziemlich bescheiden, zumal man bei den betroffenen Modellen durchaus davon ausgehen kann, dass da nicht nur WoW Safes auf der HDD lagern.

Seltsam das HP auch so zögerlich reagiert hat. Ist aber wohl gängige Praxis, öffentlich machen hilft da wohl (fast) immer.
Diese ganzen Customtreiber auf verschiedensten Notebooks gefallen mir aber ohnehin nicht. Beim OS-Wechsel hat hier häufig das Problem das man die Treiber relativ aufwendig manuell einbinden muss (so erlebt bei meinem alten Dell). Nunja und wenn dann noch nen Keylogger mit bei ist...

GrandAdmiralThrawn

Wobei man hier - ausnahmsweise Mal - nicht HP die volle Schuld in die Schuhe schieben kann. Urheber der Lücke war letzten Endes Conexant, und die wurden genauso benachrichtigt, und haben genausowenig (gar nicht?) reagiert. Ich kann natürlich nur haltlos vermuten, aber ich denke Mal daß HP als sehr großer Abnehmer Druck bei Conexant gemacht hat, damit ein Fix daherkommt. Is ja nach wie vor der größte OEM der Welt? Aber das ist wirklich nur Kaffeesudleserei auf meiner Seite.

In jedem Falle stimme ich Chosen da zu; Man sollte der urhebenden Firma zuerst unter Verschluß Bescheid geben, und denen auch hinreichend Zeit lassen, und mit den Leuten ein sinniges Vorgehen vereinbaren. Eine voreilige Veröffentlichung richtet nur mehr Schaden an, weil der Entwickler damit keine Zeit mehr hat, und unter enorm erhöhten Druck gerät. Und die Angriffe kommen dann ganz sicher, wenn da auch nur ein paar Tage verstreichen..

Wenn das nicht geht, hilft nur mehr die Erpressung. Wird kein Zufall sein, daß es nach der Veröffentlichung so verdammt schnell gegangen ist (man bedenke die enorme Response der Onlinepresse!).