Er is onlangs een zeer ernstige fout in de HP OMEN-driver ontdekt. De fout, waaraan de identifier is toegewezen, treft miljoenen spelcomputers.
Verwant: De Netfilter Rootkit: Hoe Microsoft een kwaadaardig stuurprogramma heeft ondertekend
CVE-2021-3437 in HP OMEN-stuurprogramma
Het beveiligingslek kan worden misbruikt om lokaal te escaleren naar privileges in de kernelmodus, aanvallers toestaan beveiligingsproducten uit te schakelen, systeemcomponenten overschrijven, bederven het besturingssysteem, of ongehinderd kwaadwillende handelingen uit te voeren, Onderzoekers van SentinelOne wezen erop:. Na deze ontdekking, HP heeft een beveiligingsupdate voor zijn klanten uitgebracht om de fout te verhelpen. Er is geen bewijs dat de CVE-2021-3437-fout is misbruikt bij actieve aanvallen. Niettemin, patchen is nog steeds cruciaal.
Wat is HP OMEN?
HP OMEN Gaming Hub is een softwareproduct dat vooraf is geïnstalleerd op HP OEN desktopcomputers en laptops. De software kan verschillende instellingen beheren en optimaliseren, waaronder GPU, ventilatorsnelheden, CPU overklokken, etc. Het kan ook worden gebruikt om de verlichting op speelautomaten in te stellen en aan te passen, evenals muis en toetsenbord.
De kwetsbaarheid CVE-2021-3437 komt voort uit de kwetsbare code van deze software die gedeeltelijk is gekopieerd van een open-sourcestuurprogramma.
"Onder de motorkap van HP OMEN Gaming Hub ligt de HpPortIox64.sys-driver, C:\WindowsSystem32driversHpPortIox64.sys. Deze driver is ontwikkeld door HP als onderdeel van OMEN, maar het is eigenlijk een gedeeltelijke kopie van een andere problematische driver, WinRing0.sys, ontwikkeld door OpenLibSys,SentinelOne onthuld.
Het lijkt erop dat het WinRing0.sys-stuurprogramma problemen bevat. Kwetsbaarheden in de bestuurder kan lokale gebruikers toestaan, inclusief processen met een lage integriteit, lezen en schrijven naar willekeurige geheugenlocaties.
Wat betreft het HpPortIox64.sys-stuurprogramma:, zijn operaties omvatten lezen/schrijven kernelgeheugen, lezen/schrijven PCI-configuraties, IO-poorten lezen/schrijven, en MSR's. “Ontwikkelaars vinden het misschien handig om een generieke interface van geprivilegieerde bewerkingen bloot te stellen aan de gebruikersmodus om stabiliteitsredenen door zoveel mogelijk code uit de kernel-module te houden.. De IOCTL-codes 0x9C4060CC, 0x9C4060D0, 0x9C4060D4, 0x9C40A0D8, 0x9C40A0DC en 0x9C40A0E0 laten gebruikersmodustoepassingen met lage privileges toe om te lezen/schrijven 1/2/4 bytes van of naar een IO-poort. Dit kan op verschillende manieren worden gebruikt om uiteindelijk code uit te voeren met verhoogde bevoegdheden,”Aldus het rapport.
Er moet ook worden vermeld dat de impact van de kwetsbaarheid afhankelijk is van het platform. Het kan worden gebruikt om apparaatfirmware aan te vallen of om legacy PCI-toegang uit te voeren door gebruik te maken van poorten 0xCF8/0xCFC.
In termen van algehele impact, we hebben al vermeld dat dergelijke kwetsbaarheden kunnen worden misbruikt om beveiligingsproducten te omzeilen. Bovendien, dreigingsactoren met toegang tot het netwerk van een organisatie kunnen ook toegang krijgen om code uit te voeren op blootgestelde systemen en deze fouten gebruiken om lokale bevoegdheden te misbruiken.
Om van dit gebeurt te vermijden, patchen is verplicht.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: