Recentemente è stato scoperto un difetto di elevata gravità nel driver HP OMEN. Il difetto, a cui è stato assegnato l'identificatore, colpisce milioni di computer da gioco.
Correlata: Il rootkit di Netfilter: Come Microsoft ha firmato un driver dannoso
CVE-2021-3437 nel driver HP OMEN
La vulnerabilità può essere abusata per aumentare localmente i privilegi in modalità kernel, consentire agli aggressori di disabilitare i prodotti di sicurezza, sovrascrivere i componenti del sistema, corrompere il sistema operativo, o eseguire operazioni dannose senza impedimenti, I ricercatori di SentinelOne hanno sottolineato. A seguito di questa scoperta, HP ha rilasciato un aggiornamento di sicurezza ai suoi clienti per correggere il difetto. Non ci sono prove che il difetto CVE-2021-3437 sia stato abusato in attacchi attivi. Ciò nonostante, la patch è ancora cruciale.
Cos'è HP OMEN?
HP OMEN Gaming Hub è un prodotto software preinstallato su computer desktop e laptop HP OEN. Il software può controllare e ottimizzare varie impostazioni inclusa la GPU, velocità della ventola, Overclock della CPU, etc. Può essere utilizzato anche per impostare e regolare l'illuminazione sulle macchine da gioco, così come mouse e tastiera.
La vulnerabilità CVE-2021-3437 deriva dal codice vulnerabile di questo software che è stato parzialmente copiato da un driver open source.
"Sotto il cofano di HP OMEN Gaming Hub si trova il driver HpPortIox64.sys, C:\WindowsSystem32driversHpPortIox64.sys. Questo driver è sviluppato da HP come parte di OMEN, ma in realtà è una copia parziale di un altro driver problematico, WinRing0.sys, sviluppato da OpenLibSys,“Svelato SentinelOne.
Sembra che il driver WinRing0.sys sia noto per contenere problemi. Vulnerabilità nel conducente potrebbe consentire agli utenti locali di includere processi a bassa integrità, leggere e scrivere in posizioni di memoria arbitrarie.
Per quanto riguarda il driver HpPortIox64.sys, le sue operazioni includono la lettura/scrittura della memoria del kernel, lettura/scrittura configurazioni PCI, lettura/scrittura porte IO, e MSR. "Gli sviluppatori possono trovare conveniente esporre un'interfaccia generica di operazioni privilegiate in modalità utente per motivi di stabilità mantenendo quanto più codice possibile dal modulo kernel. I codici IOCTL 0x9C4060CC, 0x9C4060D0, 0x9C4060D4, 0x9C40A0D8, 0x9C40A0DC e 0x9C40A0E0 consentono alle applicazioni in modalità utente con bassi privilegi di lettura/scrittura 1/2/4 byte da o verso una porta IO. Questo potrebbe essere sfruttato in diversi modi per eseguire infine codice con privilegi elevati,”Dice il rapporto.
Va anche detto che l'impatto della vulnerabilità dipende dalla piattaforma. Può essere sfruttato per attaccare il firmware del dispositivo o eseguire l'accesso PCI legacy sfruttando le porte 0xCF8/0xCFC.
In termini di impatto complessivo, abbiamo già detto che tali vulnerabilità possono essere sfruttate per aggirare i prodotti di sicurezza. In aggiunta, gli attori delle minacce con accesso alla rete di un'organizzazione potrebbero anche ottenere l'accesso per eseguire codice sui sistemi esposti e utilizzare questi difetti per ottenere l'elevazione locale dei privilegi.
Per evitare che tutto ciò accada, la patch è obbligatoria.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: