HP Flaw permite que hackers sequestrem seu PC: O que fazer

Tem um laptop ou desktop HP? Você vai querer ter certeza de que possui os patches de software HP mais recentes.

Isso ocorre porque há uma falha séria nas versões mais antigas do Touchpoint Analytics, também conhecido como HP Device Health Service, um programa de diagnóstico embutido na maioria dos PCs HP que executam o Windows. Um usuário ou programa com direitos administrativos pode usar o Touchpoint Analytics para instalar malware de forma silenciosa e permanente no nível do sistema, e uma conta de usuário limitada também pode fazer isso em certos casos.

A HP corrigiu esse problema com o Touchpoint Analytics / HP Device Health Service versão 4.1.4.2827 em 4 de outubro, mas nem todos os usuários da HP podem ter recebido a atualização. Peleg Hadar, da empresa de segurança SafeBreach, publicou uma descrição técnica detalhada da falha em uma postagem do blog hoje (10 de outubro), que resumimos a seguir.

Como ter certeza de que você está seguro

Existem duas maneiras de verificar e resolver esse problema - uma se você tiver o Windows 10 e outra se não tiver. O segundo método também funciona para o Windows 10, mas é um pouco mais complicado. Ambos os métodos requerem que você esteja conectado como administrador.

Se você tiver o Windows 10, clique com o botão direito no ícone do Windows na parte inferior esquerda da tela e selecione Gerenciador de dispositivos. Role para baixo e expanda a seção Componentes de software. Clique com o botão direito do mouse em HP Device Health Service e selecione Propriedades. Selecione a guia Drivers e veja qual versão do HP Device Health Service você possui.

Você deseja ter a versão 4.1.4.2827. Se for inferior, você deseja acionar o Windows Update para baixar e instalar a versão correta.

Clique no ícone do Windows na parte inferior esquerda da tela e selecione o ícone Configurações - parece uma engrenagem de bicicleta. Clique em Updates & Security, depois em Windows Update, se necessário, e então clique no grande botão Check for Updates. O Windows cuidará do resto.

MAIS: Os melhores notebooks HP

Se você tiver uma versão anterior do Windows, clique no ícone do Windows na parte inferior esquerda da tela, abra o menu Iniciar e selecione Painel de Controle. Você também pode simplesmente digitar Painel de controle no campo de pesquisa. Encontre e selecione Programas e / ou Programas e Recursos. Você também pode ter que selecionar Desinstalar um programa. Encontre o HP Touchpoint Analytics Client e veja qual número de versão está listado ao lado dele.

Novamente, você deseja ter a versão 4.1.4.2827. Se for menor, você terá que atualizá-lo. Infelizmente, o Windows Update não fará isso para você no pré-Windows 10, então você terá que usar outra ferramenta.

Volte para o canto inferior esquerdo da tela e digite Ferramentas Administrativas. Na janela Ferramentas Administrativas, clique duas vezes em Agendador de Tarefas. Clique com o botão direito em TechPulse Updater e selecione Executar.

Indo para o CAMINHO errado

O problema aqui surge porque o Touchpoint Analytics / HP Device Health Service usa um software de código aberto chamado Open Hardware Monitor para acessar componentes de baixo nível de um PC, como memória física e partições de disco ocultas. (Você pode baixar e instalar o Open Hardware Monitor para você aqui.)

O Open Hardware Monitor não especifica a localização de certos repositórios de código chamados bibliotecas de vínculo dinâmico, ou DLLs, e não verifica o conteúdo das próprias DLLs. Isso faz sentido para um utilitário do Windows universalmente aplicável, mas quando esse utilitário é reaproveitado como um programa de diagnóstico com privilégios de sistema profundos, coisas ruins podem acontecer.

Quando o Touchpoint Analytics é inicializado, ele procura DLLs pertencentes a muitos tipos possíveis de hardware em um PC, incluindo placas de vídeo de terceiros da AMD / ATI e Nvidia. Ele pesquisa vários diretórios prováveis ou caminhos de arquivo para essas DLLs.

Esses caminhos de arquivo são especificados por uma "variável de ambiente" em todo o sistema chamada PATH, que informa ao Touchpoint Analytics (e muitos outros aplicativos do Windows) onde procurar DLLs e outros arquivos executáveis.

Mas se um computador não tiver uma placa de vídeo de terceiros, as DLLs adequadas não serão encontradas ou carregadas. Pesquisadores da empresa de segurança SafeBreach descobriram que podiam criar versões falsas de DLLs AMD / ATI e Nvidia, modificar a variável de ambiente PATH de todo o sistema para adicionar novos diretórios nos quais eles colocariam DLLs falsas e fazer com que o Touchpoint Analytics escolha e carregue as falsas DLLs.

Esse tipo de alternância de DLL é conhecido como injeção de DLL e faz com que um programa faça coisas que não deveria. Os jogadores de PC às vezes usam injeção de DLL para trapacear nos jogos, e hackers mal-intencionados podem usá-la para fazer um programa executar código malicioso. (A injeção de DLL funciona em sistemas Macs e Unix / Linux, bem como em Windows.)

Como o Touchpoint Analytics é executado no nível do sistema, ele pode fazer qualquer coisa em um sistema Windows - o que significa que qualquer malware carregado nele por meio de injeção de DLL também pode.

Então, por que nos importamos? Porque…

O problema é que em uma máquina HP Windows padrão usando a variável PATH padrão, nada disso é possível a menos que você já tenha privilégios administrativos. Mas, é claro, se você já tiver privilégios administrativos, poderá instalar o malware de qualquer maneira. Então você pode estar se perguntando qual é o clamor.

Respondendo a uma pergunta de Laptop, Hadar disse que o escopo da vulnerabilidade "depende da variável de ambiente PATH do sistema operacional da vítima."

Em outras palavras, se uma máquina tiver modificações existentes na variável de ambiente PATH, o Touchpoint Analytics, ou implementações do Open Hardware Monitor em outros sistemas, poderá carregar DLLs maliciosas de diretórios não pertencentes ao sistema. Isso permitiria a um usuário com privilégios limitados, ou malware instalado pela conta de um usuário limitado, injetar uma DLL maliciosa no nível do sistema.

“Nós vimos alguns casos em que essa vulnerabilidade foi explorada por um usuário não administrador, porque uma pasta específica no PATH era gravável por um não administrador”, Hadar nos disse.

Hadar e SafeBreach encontraram uma falha muito semelhante no início deste ano em máquinas Dell, que também foi causada por um serviço de diagnóstico que usava software de terceiros.

Crédito da imagem: ReviewsExpert.net