Uma falha de alta gravidade no driver HP OMEN foi descoberta recentemente. a falha, que foi atribuído o identificador, afeta milhões de computadores de jogos.
relacionado: O Netfilter Rootkit: Como a Microsoft assinou um driver malicioso
CVE-2021-3437 no driver HP OMEN
A vulnerabilidade pode ser abusada para escalar localmente para os privilégios do modo kernel, permitindo que invasores desabilitem produtos de segurança, sobrescrever componentes do sistema, corromper o sistema operacional, ou realizar qualquer operação maliciosa desimpedida, Pesquisadores do SentinelOne apontaram. Após esta descoberta, A HP lançou uma atualização de segurança para seus clientes para corrigir a falha. Não há evidências de que a falha CVE-2021-3437 tenha sido abusada em ataques ativos. Não obstante, patching ainda é crucial.
O que é HP OMEN?
HP OMEN Gaming Hub é um produto de software pré-instalado em computadores desktop e laptops HP OEN. O software pode controlar e otimizar várias configurações, incluindo GPU, velocidades do ventilador, Overclocking da CPU, etc. Também pode ser usado para definir e ajustar a iluminação em máquinas de jogos, bem como mouse e teclado.
A vulnerabilidade CVE-2021-3437 deriva do código vulnerável deste software que foi parcialmente copiado de um driver de código aberto.
“Por trás do HP OMEN Gaming Hub está o driver HpPortIox64.sys, C:\Windows System32 drivers HpPortIox64.sys. Este driver foi desenvolvido pela HP como parte do OMEN, mas na verdade é uma cópia parcial de outro driver problemático, WinRing0.sys, desenvolvido por OpenLibSys,”SentinelOne revelado.
Parece que o driver WinRing0.sys é conhecido por conter problemas. Vulnerabilidades no driver poderia permitir usuários locais, incluindo processos de baixa integridade, ler e escrever em locais de memória arbitrários.
Quanto ao driver HpPortIox64.sys, suas operações incluem leitura / gravação de memória do kernel, ler / escrever configurações PCI, portas IO de leitura / gravação, e MSRs. “Os desenvolvedores podem achar conveniente expor uma interface genérica de operações privilegiadas ao modo de usuário por motivos de estabilidade, mantendo o máximo de código possível do módulo do kernel. Os códigos IOCTL 0x9C4060CC, 0x9C4060D0, 0x9C4060D4, 0x9C40A0D8, 0x9C40A0DC e 0x9C40A0E0 permitem que aplicativos de modo de usuário com baixos privilégios de leitura / gravação 1/2/4 bytes para ou de uma porta IO. Isso pode ser aproveitado de várias maneiras para, em última análise, executar o código com privilégios elevados,”Disse o relatório.
Também deve ser mencionado que o impacto da vulnerabilidade depende da plataforma. Ele pode ser aproveitado para atacar o firmware do dispositivo ou executar o acesso PCI legado aproveitando as portas 0xCF8 / 0xCFC.
Em termos de impacto geral, já mencionamos que tais vulnerabilidades podem ser exploradas para contornar produtos de segurança. além do que, além do mais, os agentes de ameaças com acesso à rede de uma organização também podem obter acesso para executar códigos em sistemas expostos e usar essas falhas para obter elevação local de privilégios.
Para evitar que isso aconteça, patching é obrigatório.