近期,国家信息安全漏洞共享平台(CNVD)收录了惠普笔记本音频驱动内置键盘记录器后门漏洞 (CNVD-2017-09590,对应编号CVE-2017-8360)。攻击者可利用在当前用户会话中运行的任何进程监控调试信息,记录用户通过键盘输入的任意内容,包括用户输入的密码等敏感数据,构成较为严重的信息泄露和运行安全风险。
2017年4月28日,瑞士安全公司Modzero的安全研究员Thorsten Schroeder在审查Windows Active Domain的基础设施时发现,惠普IT产品(笔记本电脑)中的Conexant音频驱动程序内置了用于调试产品的MicTray64.exe(键盘记录器),可记录用户的所有按键输入。在原出厂环境下,MicTray64.exe与Conexant音频驱动程序包被同时安装在笔记本电脑中,键盘记录功能除了处理快捷键/功能键的点击事件外,所有的键盘输入信息都会被写入所有用户权限都可读的路径中的日志文件 (C:UsersPublicMicTray.log)中,甚至会传递给OutputDebugString API,这使得任何可以调用MapViewOfFile API的框架或者进程都能够通过用户的键盘输入信息静默的收集敏感数据,并在白名单机制下绕过杀毒软件检测。
CNVD对上述惠普HP笔记本Conexant音频驱动程序进行了技术分析,发现驱动程序安装后,在C:WindowsSystem32路径下释放的MicTray.exe(MicTray64.exe)文件通过设置键盘钩子,记录键盘的扫描码和虚拟码,对键盘输入事件进行监控,实现对键盘事件的记录行为,截图如下:
CNVD对漏洞的综合评级为“高危”。
二、漏洞影响范围
受漏洞影响的硬件产品型号:
HP EliteBook 820 G3 Notebook PC
HP EliteBook 828 G3 Notebook PC
HP EliteBook 840 G3 Notebook PC
HP EliteBook 848 G3 Notebook PC
HP EliteBook 850 G3 Notebook PC
HP ProBook 640 G2 Notebook PC
HP ProBook 650 G2 Notebook PC
HP ProBook 645 G2 Notebook PC
HP ProBook 655 G2 Notebook PC
HP ProBook 450 G3 Notebook PC
HP ProBook 430 G3 Notebook PC
HP ProBook 440 G3 Notebook PC
HP ProBook 446 G3 Notebook PC
HP ProBook 470 G3 Notebook PC
HP ProBook 455 G3 Notebook PC
HP EliteBook 725 G3 Notebook PC
HP EliteBook 745 G3 Notebook PC
HP EliteBook 755 G3 Notebook PC
HP EliteBook 1030 G1 Notebook PC
HP ZBook 15u G3 Mobile Workstation
HP Elite x2 1012 G1 Tablet
HP Elite x2 1012 G1 with Travel Keyboard
HP Elite x2 1012 G1 Advanced Keyboard
HP EliteBook Folio 1040 G3 Notebook PC
HP ZBook 17 G3 Mobile Workstation
HP ZBook 15 G3 Mobile Workstation
HP ZBook Studio G3 Mobile Workstation
HP EliteBook Folio G1 Notebook PC
受漏洞影响的操作系统:
Microsoft Windows 10 32
Microsoft Windows 10 64
Microsoft Windows 10 IOT Enterprise 32-Bit (x86)
Microsoft Windows 10 IOT Enterprise 64-Bit (x86)
Microsoft Windows 7 Enterprise 32 Edition
Microsoft Windows 7 Enterprise 64 Edition
Microsoft Windows 7 Home Basic 32 Edition
Microsoft Windows 7 Home Basic 64 Edition
Microsoft Windows 7 Home Premium 32 Edition
Microsoft Windows 7 Home Premium 64 Edition
Microsoft Windows 7 Professional 32 Edition
Microsoft Windows 7 Professional 64 Edition
Microsoft Windows 7 Starter 32 Edition
Microsoft Windows 7 Ultimate 32 Edition
Microsoft Windows 7 Ultimate 64 Edition
Microsoft Windows Embedded Standard 7 32
Microsoft Windows Embedded Standard 7E 32-Bit
注:其它使用了Conexant硬件和驱动器的硬件厂商也有可能受该问题影响。
惠普针对该情况紧急发布过一个关闭此调试功能的修复程序。2017年5月14日,惠普又发布了更新的修复驱动程序,该程序能将所有高保真音频驱动 中有此调试记录功能的源代码删除。受影响的惠普电脑对应修复程序的列表请参考惠普官网:https://support.hp.com/us-en/document/c05519670
如未能升级,可以采用如下临时解决方案:
删除MicTray可执行文件和相应的日志记录文件。仅仅删除计划任务是不能解决问题的,因为Windows服务CxMonSvc将再一次启动MicTray。删除文件位置如下:
可执行文件的位置:C:WindowsSystem32MicTray64.exe
日志文件的位置:C:UsersPublicMicTray.log
(1)https://newsblog.ext.hp.com/t5/HP-newsroom-blog/Modzero-report-on-keylogger-issue/ba-p/937?from=groupmessage
(2)https://www.modzero.ch/advisories/MZ-17-01-Conexant-Keylogger.txt
(3)http://www.cnvd.org.cn/flaw/show/CNVD-2017-09590