Onderzoekers ontdekken keylogger in HP-audiodriver

[Captain Kirk]

Onderzoekers van het Zwitserse beveiligingsbedrijf modzero hebben een keylogger in een audiodriver van Hewlett-Packard ontdekt die allerlei toetsaanslagen in een logbestand opslaat. Het gaat om een door audiochipfabrikant Conexant ontwikkelde driver voor geluidskaarten met een Conexant-chip.

HP-computers maken van de Conexant-chips gebruik, waarbij de computergigant de drivers van Conexant via de eigen website aanbiedt. Via de drivers kan de software met de hardware communiceren. Bij bepaalde computermodellen is deze controle nog verder uitgebreid, waarbij de audiohardware via bepaalde toetsen is te bedienen. Het gaat dan bijvoorbeeld om het in- of uitschakelen van de microfoon via speciale toetsen op het toetsenbord. Deze ondersteuning in de drivercode lijkt speciaal voor HP-computers te zijn ontwikkeld en zorgt ervoor dat alle toetsenbordaanslagen worden opgevangen en verwerkt.

Zodoende kan de software herkennen of er een speciale toets is ingedrukt om de hardware te bedienen. Volgens de onderzoekers van modzero hebben de ontwikkelaars van de driver verschillende diagnostische en debuggingfeatures toegevoegd die ervoor zorgen dat alle toetsaanslagen via een debugginginterface worden uitgezonden of in een logbestand in een map op de harde schijf worden opgeslagen.

"Deze vorm van debugging verandert de audiodriver in een keylogger", aldus onderzoeker Thorsten Schroeder. De keylogger zou sinds eind 2015 in de audiodriver aanwezig zijn. Een latere versie van de driver vergrootte het probleem, omdat alle toetsaanslagen in een publiek logbestand worden bewaard. Hoewel het bestand bij elk login van de gebruiker wordt overschreven zou de inhoud eenvoudig door forensische tools zijn te monitoren.

Geen opzet

"Als je regelmatig een incrementele back-up van je harde schijf maakt, in de cloud of op een externe harde schijf, is er waarschijnlijk in je back-ups een geschiedenis van alle toetsaanslagen van de afgelopen jaren terug te vinden", laat Schroeder weten. Hij merkt op dat er geen aanwijzingen zijn dat de keylogger opzettelijk aan de driver is toegevoegd. "Het is nalatigheid van de ontwikkelaars, maar dat maakt de software niet minder schadelijk" , gaat de onderzoeker verder. Modzero waarschuwde zowel Conexant als HP voor de keylogger, maar kreeg geen reactie op het rapport. Daarop zijn de bevindingen openbaar gemaakt.

Eigenaren van een HP-computer krijgen het advies om te controleren of het programma C:\Windows\System32\MicTray64.exe of C:\Windows\System32\MicTray.exe op de computer geïnstalleerd is. Vervolgens moet het worden verwijderd of hernoemd, zodat de toetsaanslagen niet meer worden opgeslagen. Dit kan er echter wel voor zorgen dat de speciale toetsen op het toetsenbord niet meer werken. Verder moet het bestand C:\Users\Public\MicTray.log worden verwijderd, aangezien het gevoelige informatie zoals inloggegevens en wachtwoorden kan bevatten.

 

 

 

bron: security.nl

[Captain Kirk]

HP komt met oplossing voor keylogger in audiodriver

HP heeft een oplossing uitgebracht voor een keylogger die onbedoeld aan een audiodriver voor verschillende laptops was toegevoegd. Gisteren maakten onderzoekers bekend dat een HP-audiodriver voor geluidskaarten met een Conexant-chip allerlei toetsaanslagen in een logbestand bewaarde.

De driver was ontwikkeld door Conexant en aangeboden door HP. Het bleek om een onbedoelde testfunctionaliteit te gaan die in de driver was achtergebleven. Volgens HP is het via de keylogger niet mogelijk voor de computergigant om toegang tot klantgegevens te krijgen. "Onze leverancier heeft software ontwikkeld om de audiofunctionaliteiten te testen voorafgaand aan de product lancering. Dit had niet in de laatste versie moeten zitten die is verstuurd", aldus een reactie van HP. Via HP.com en Windows Update is nu voor modellen van 2015 en 2016 een patch uitgebracht. De patch verhelpt het probleem en verwijdert het logbestand.

 

 

bron: security.nl