关于惠普笔记本音频驱动存在内置键盘记录器后门漏洞的安全.PDFVIP

山西省通信管理局 主办：国家计算机网络应急技术处理协调中心山西分中心 2017 年7 月24 日 关于惠普笔记本音频驱动存在内置键盘记录器后 门漏洞的安全公告 近期，国家信息安全漏洞共享平台（CNVD ）收录了惠普 笔记本音频驱动内置键盘记录器后门漏洞(CNVD-2017-09590 ， 对应编号CVE-2017-8360)。攻击者可利用在当前用户会话中运 行的任何进程监控调试信息，记录用户通过键盘输入的任意内 容，包括用户输入的密码等敏感数据，构成较为严重的信息泄 露和运行安全风险。 一、漏洞情况分析 2017 年4 月28 日，瑞士安全公司Modzero 的安全研究员 Thorsten Schroeder 在审查Windows Active Domain 的基础设 施时发现，惠普IT 产品（笔记本电脑）中的Conexant 音频驱 动程序内置了用于调试产品的MicTray64.exe （键盘记录 器），可记录用户的所有按键输入。在原出厂环境下， MicTray64.exe 与Conexant 音频驱动程序包被同时安装在笔记 本电脑中，键盘记录功能除了处理快捷键/功能键的点击事件 外，所有的键盘输入信息都会被写入所有用户权限都可读的路 径中的日志文件 （C:UsersPublicMicTray.log ）中，甚至会传 递给OutputDebugStringAPI，这使得任何可以调用 MapViewOfFile API 的框架或者进程都能够通过用户的键盘输 入信息静默的收集敏感数据，并在白名单机制下绕过杀毒软件 检测。 CNVD 对上述惠普HP 笔记本Conexant 音频驱动程序进行了 技术分析，发现驱动程序安装后，在C:\Windows\System32\路 径下释放的MicTray.exe （MicTray64.exe ）文件通过设置键盘 钩子，记录键盘的扫描码和虚拟码，对键盘输入事件进行监 控，实现对键盘事件的记录行为。 CNVD 对漏洞的综合评级为“高危”。 二、漏洞影响范围 受漏洞影响的硬件产品型号： HP EliteBook 820 G3 Notebook PC HP EliteBook 828 G3 Notebook PC HP EliteBook 840 G3 Notebook PC HP EliteBook 848 G3 Notebook PC HP EliteBook 850 G3 Notebook PC HP ProBook 640 G2 Notebook PC HP ProBook 650 G2 Notebook PC HP ProBook 645 G2 Notebook PC HP ProBook 655 G2 Notebook PC HP ProBook 450 G3 Notebook PC HP ProBook 430 G3 Notebook PC HP ProBook 440 G3 Notebook PC HP ProBook 446 G3 Notebook PC HP ProBook 470 G3 Notebook PC HP ProBook 455 G3 Notebook PC HP EliteBook 725 G3 Notebook PC HP EliteBook 745 G3 Notebook PC HP EliteBook 755 G3 Notebook PC HP EliteBook 1030 G1 Notebook PC HP ZBook 15u G3 Mobile Workstation HP Elite x2 1012 G1 Tablet HP Elite x2 1012 G1 with Travel Keyboard HP Elite x2 1012 G1 Advanced Keyboard HP EliteBook Folio 1040 G3 Notebook PC HP ZBook 17 G3 Mobile Workstation HP ZBook 15 G3 Mobile Workstation HP ZBook Studio G3 Mobile Workstation HP EliteBook Folio G1 Notebook PC 受漏洞影响的操作系统： Microsoft