こんにちは。Ichi(@0x31_nose)です。
12月8日(金)のニュース「HPのドライバーにキーロガーコードが含まれていた事からドライバーアップデートを提供」についての翻訳&まとめです。
レジストリ内にバグコードが存在
HPは、自社ハードウェアのドライバーにキーロガーを含むバグが存在していた為、ドライバーアップデートをリリース。
キーロガーのコードは、HPラップトップの操作には欠かせない”Synaptics Touchpad”のドライバーの一部である、”SynTP.sys”というファイルに含まれていたようだ。
キーロガーはデフォルトでOFFに設定されていたが、レジストリ値を変更する事でONにする事が出来るようだ。
レジストリキーは以下のもの。
- HKLM\Software\Synaptics\%ProductName% HKLM\Software\Synaptics\%ProductName%\Default
UACをバイパスできれば悪用可能
攻撃者がこのレジストリキーを悪用すれば、キーロガー機能を”Enable”にして任意のターゲットのキーストロークを全てログする事が出来るようになる。
上記のレジストリキーの値を変更するためには、User Access Control(以下、UAC)をバイパスしなければならない。
尚、UACをバイパスする方法はこれまでに数多く報告されている。
Microsoftは、UACをセキュリティの一部として認識していない旨を公式で発表している事から、これまでに報告されたバイパス方法がパッチされる可能性は低い。
以上の事から、今後UACをバイパスして、このバグの悪用を試みる攻撃者は少なからず存在するだろう。
以下の参考リンクには、Windows10のDiskCleanupを使ってUACをバイパスする方法を説明するページのURLを貼り付けておく。
- Definition of a Security Vulnerability
- Windows 10のディスククリーンアップ自動実行機能を利用してUACをバイパスする方法
- BYPASSING UAC ON WINDOWS 10 USING DISK CLEANUP
バグ原因はHPの”取り除き忘れ”
キーロガーは、ログした入力値をWPP Software Tracingに保存する。
WPP Software Tracingとは、開発者に使われるもので、主にコードのデバッグ目的で使用される。
このバグを発見したMyng氏は、製造元のHPにバグを報告した所、HPは素直に認めたようだ。
HPは「開発の段階におけるデバックの際に取り除き忘れたコードで、直ちにアップデートを公開した」と回答した。
HPの公式サイトでは、以下の情報を参照する事ができる。
- 影響のある475種類もの製品モデル
- ファームウェアアップデート
影響のあるモデルには、OMEN, ENVY, Pavilion, Stream, ZBook, EliteBook, ProBook, Compaqといった、HP製のPCの代表的なモデルも含まれているので、該当機種を持っているのならすぐにアップデートを行なった方がいい。
コードの取り除き忘れは過去にも発生
実は過去にも、HPの開発者がキーロガーコードを製品に残したままにしていた事があったと言われている。
しかも、今年(2017年)の5月である。
その時は、Conexant HD Audio Driver Packageというドライバーにコードが残されていたようだ。
※このバグを発見したMyng氏によるTechnical Analysisはこちらから