En stor sværhedsgrad i HP OMEN-driveren blev for nylig opdaget. fejlen, som har fået tildelt identifikatoren, påvirker millioner af spilcomputere.
Relaterede: Netfilter Rootkit: Hvordan Microsoft underskrev en ondsindet driver
CVE-2021-3437 i HP OMEN-driver
Sårbarheden kan misbruges til lokalt at eskalere til kernel-mode privilegier, tillader angribere at deaktivere sikkerhedsprodukter, overskrive systemkomponenter, ødelægger operativsystemet, eller udføre ondsindede handlinger uhindret, SentinelOne forskere påpegede. Efter denne opdagelse, HP har frigivet en sikkerhedsopdatering til sine kunder for at rette fejlen. Der er ingen tegn på, at CVE-2021-3437-fejlen er blevet misbrugt i aktive angreb. Ikke desto mindre, patching er stadig afgørende.
Hvad er HP OMEN?
HP OMEN Gaming Hub er et softwareprodukt forudinstalleret på HP OEN stationære computere og bærbare computere. Softwaren kan styre og optimere forskellige indstillinger, herunder GPU, blæserhastigheder, CPU overclocking, etc. Det kan også bruges til at indstille og justere belysning på spillemaskiner, samt mus og tastatur.
CVE-2021-3437-sårbarheden stammer fra denne softwares sårbare kode, som delvist er blevet kopieret fra en open-source-driver.
“Under emhætten på HP OMEN Gaming Hub ligger HpPortIox64.sys -driveren, C:\Windows System32 drivers HpPortIox64.sys. Denne driver er udviklet af HP som en del af OMEN, men det er faktisk en delvis kopi af en anden problematisk driver, WinRing0.sys, udviklet af OpenLibSys,”Afslørede SentinelOne.
Det ser ud til, at WinRing0.sys -driveren har været kendt for at indeholde problemer. Sårbarheder hos chaufføren kunne tillade lokale brugere, herunder processer med lav integritet, at læse og skrive til vilkårlige hukommelsessteder.
Hvad angår HpPortIox64.sys -driveren, dens operationer inkluderer læse/skrive kernehukommelse, læse/skrive PCI -konfigurationer, læse/skrive IO -porte, og MSR'er. “Udviklere kan finde det bekvemt at udsætte en generisk grænseflade for privilegerede operationer for brugertilstand af stabilitetsmæssige årsager ved at beholde så meget kode som muligt fra kernemodulet. IOCTL koder 0x9C4060CC, 0x9C4060D0, 0x9C4060D4, 0x9C40A0D8, 0x9C40A0DC og 0x9C40A0E0 giver applikationer i brugertilstand med lave rettigheder mulighed for at læse/skrive 1/2/4 bytes til eller fra en IO -port. Dette kan udnyttes på flere måder til i sidste ende at køre kode med forhøjede privilegier,”Hedder det i rapporten.
Det skal også nævnes, at sårbarhedens indvirkning afhænger af platformen. Det kan udnyttes til at angribe enheds firmware eller udføre ældre PCI -adgang ved at udnytte porte 0xCF8/0xCFC.
Med hensyn til den samlede effekt, vi nævnte allerede, at sådanne sårbarheder kan udnyttes til at omgå sikkerhedsprodukter. Desuden, trusselsaktører med adgang til en organisations netværk kan også få adgang til at eksekvere kode på udsatte systemer og bruge disse fejl til at opnå lokal forhøjelse af privilegier.
For at undgå noget af dette sker, patching er obligatorisk.