Une faille très grave dans le pilote HP OMEN a été découverte récemment. La faille, auquel a été attribué l'identifiant, affecte des millions d'ordinateurs de jeu.
en relation: Le rootkit Netfilter: Comment Microsoft a signé un pilote malveillant
CVE-2021-3437 dans le pilote HP OMEN
La vulnérabilité peut être abusée pour passer localement aux privilèges en mode noyau, permettre aux attaquants de désactiver les produits de sécurité, écraser les composants du système, corrompre le système d'exploitation, ou effectuer des opérations malveillantes sans entrave, Les chercheurs de SentinelOne ont souligné. Suite à cette découverte, HP a publié une mise à jour de sécurité à ses clients pour corriger la faille. Il n'y a aucune preuve que la faille CVE-2021-3437 a été abusée lors d'attaques actives. Cependant, le patch est toujours crucial.
Qu'est-ce que HP OMEN?
HP OMEN Gaming Hub est un produit logiciel préinstallé sur les ordinateurs de bureau et les ordinateurs portables HP OEN. Le logiciel peut contrôler et optimiser divers paramètres, y compris le GPU, vitesses des ventilateurs, Overclocking du processeur, etc. Il peut également être utilisé pour régler et ajuster l'éclairage sur les machines de jeux, ainsi que la souris et le clavier.
La vulnérabilité CVE-2021-3437 provient du code vulnérable de ce logiciel qui a été partiellement copié à partir d'un pilote open-source.
« Sous le capot de HP OMEN Gaming Hub se trouve le pilote HpPortIox64.sys, C:\WindowsSystem32driversHpPortIox64.sys. Ce pilote est développé par HP dans le cadre d'OMEN, mais c'est en fait une copie partielle d'un autre pilote problématique, WinRing0.sys, développé par OpenLibSys,” SentinelOne a révélé.
Il semble que le pilote WinRing0.sys soit connu pour contenir des problèmes. Vulnérabilités dans le pilote pourrait permettre aux utilisateurs locaux, y compris les processus à faible intégrité, lire et écrire dans des emplacements mémoire arbitraires.
Quant au pilote HpPortIox64.sys, ses opérations incluent la mémoire du noyau en lecture/écriture, lecture/écriture des configurations PCI, ports d'E/S en lecture/écriture, et MSR. « Les développeurs peuvent trouver pratique d'exposer une interface générique d'opérations privilégiées en mode utilisateur pour des raisons de stabilité en conservant autant de code que possible du module noyau. Les codes IOCTL 0x9C4060CC, 0x9C4060D0, 0x9C4060D4, 0x9C40A0D8, 0x9C40A0DC et 0x9C40A0E0 permettent aux applications en mode utilisateur avec de faibles privilèges de lire/écrire 1/2/4 octets vers ou depuis un port IO. Cela pourrait être exploité de plusieurs manières pour finalement exécuter du code avec des privilèges élevés,» Le rapport.
Il convient également de mentionner que l'impact de la vulnérabilité dépend de la plate-forme. Il peut être utilisé pour attaquer le micrologiciel du périphérique ou effectuer un accès PCI hérité en exploitant les ports 0xCF8/0xCFC.
En termes d'impact global, nous avons déjà mentionné que de telles vulnérabilités peuvent être exploitées pour contourner les produits de sécurité. En outre, les acteurs de la menace ayant accès au réseau d'une organisation pourraient également accéder pour exécuter du code sur les systèmes exposés et utiliser ces failles pour obtenir une élévation locale des privilèges.
Pour éviter tout cela de se produire, le patch est obligatoire.