Kürzlich wurde ein schwerwiegender Fehler im HP OMEN-Treiber entdeckt. Der Fehler, dem die Kennung zugewiesen wurde, betrifft Millionen von Gaming-Computern.
verbunden: Das Netfilter Rootkit: Wie Microsoft einen bösartigen Treiber signiert hat
CVE-2021-3437 im HP OMEN-Treiber
Die Schwachstelle kann missbraucht werden, um lokal zu Kernelmodus-Berechtigungen zu eskalieren, Angreifern erlauben, Sicherheitsprodukte zu deaktivieren, Systemkomponenten überschreiben, korrumpiere das Betriebssystem, oder böswillige Operationen ungehindert ausführen, SentinelOne-Forscher wiesen darauf hin. Nach dieser Entdeckung, HP hat seinen Kunden ein Sicherheitsupdate bereitgestellt, um den Fehler zu beheben. Es gibt keine Beweise dafür, dass der Fehler CVE-2021-3437 bei aktiven Angriffen missbraucht wurde. Dennoch, Patchen ist immer noch entscheidend.
Was ist HP OMEN?
HP OMEN Gaming Hub ist ein Softwareprodukt, das auf HP OEN Desktop-Computern und Laptops vorinstalliert ist. Die Software kann verschiedene Einstellungen steuern und optimieren, einschließlich GPU, Lüftergeschwindigkeiten, CPU-Übertaktung, etc. Es kann auch verwendet werden, um die Beleuchtung von Spielautomaten einzustellen und anzupassen, sowie Maus und Tastatur.
Die Schwachstelle CVE-2021-3437 stammt aus dem anfälligen Code dieser Software, der teilweise von einem Open-Source-Treiber kopiert wurde.
„Unter der Haube des HP OMEN Gaming Hub verbirgt sich der Treiber HpPortIox64.sys, C:\WindowsSystem32driversHpPortIox64.sys. Dieser Treiber wird von HP als Teil von OMEN . entwickelt, aber es ist tatsächlich eine teilweise Kopie eines anderen problematischen Treibers, WinRing0.sys, entwickelt von OpenLibSys,” SentinelOne enthüllte.
Es scheint, dass der WinRing0.sys-Treiber bekanntermaßen Probleme enthält. Schwachstellen im Treiber könnte lokalen Benutzern einschließlich Prozessen mit geringer Integrität ermöglichen, um beliebige Speicherorte zu lesen und zu schreiben.
Wie für den HpPortIox64.sys-Treiber, seine Operationen umfassen das Lesen/Schreiben des Kernelspeichers, PCI-Konfigurationen lesen/schreiben, IO-Ports lesen/schreiben, und MSRs. „Entwickler können es aus Stabilitätsgründen bequem finden, eine generische Schnittstelle privilegierter Operationen für den Benutzermodus bereitzustellen, indem sie so viel Code wie möglich vom Kernel-Modul fernhalten.“. Die IOCTL-Codes 0x9C4060CC, 0x9C4060D0, 0x9C4060D4, 0x9C40A0D8, 0x9C40A0DC und 0x9C40A0E0 ermöglichen Benutzermodusanwendungen mit geringen Berechtigungen das Lesen/Schreiben 1/2/4 Bytes zu oder von einem IO-Port. Dies könnte auf verschiedene Weise genutzt werden, um letztendlich Code mit erhöhten Rechten auszuführen,“So der Bericht.
Es sollte auch erwähnt werden, dass die Auswirkung der Schwachstelle von der Plattform abhängt. Es kann genutzt werden, um Geräte-Firmware anzugreifen oder Legacy-PCI-Zugriff durchzuführen, indem die Ports 0xCF8/0xCFC genutzt werden.
In Bezug auf die Gesamtwirkung, wir haben bereits erwähnt, dass solche Schwachstellen ausgenutzt werden können, um Sicherheitsprodukte zu umgehen. Außerdem, Bedrohungsakteure mit Zugriff auf das Netzwerk einer Organisation könnten auch Zugriff erhalten, um Code auf exponierten Systemen auszuführen und diese Fehler nutzen, um lokale Rechteerweiterungen zu erlangen.
Zu einem dies zu vermeiden, Patchen ist Pflicht.