2017年，有一款軟件曾被廣大網(wǎng)友吐槽為惠普電腦上的“間諜軟件”。然而，就在這件事涼得差不多的時候，該軟件卻因為被曝漏洞又火了一把。

10月11日，安全研究人員發(fā)現(xiàn)惠普分析軟件存在LPE漏洞。該漏洞允許攻擊者通過預(yù)裝在多數(shù)惠普電腦上的HP Touchpoint Analytics 軟件進(jìn)行提權(quán)，以此繞過安全機(jī)制進(jìn)行攻擊。

TouchPoint Analytics什么鬼？

對尚未使用過惠普系電腦的人來說，對這個名字有點(diǎn)陌生。但是在HP用戶圈內(nèi)，TouchPoint Analytics軟件曾引起買家們的激烈討論。

該軟件是HP部署的Windows Telemetry服務(wù)，名為“HP Touchpoint Analytics Client”服務(wù)的一部分，該服務(wù)于2017年11月15日首次被識別出來。當(dāng)時，這款軟件并未被曝出存在什么漏洞。

該軟件的作用，即為收集有關(guān)筆記本電腦硬件性能的匿名信息，并用于幫助技術(shù)支持人員診斷你的電腦問題。

這種操作，讓惠普成功收獲了用戶們的一萬點(diǎn)傷害。微博、貼吧、媒體頭條，紛紛出現(xiàn)了“惠普在PC上安裝間諜軟件”的消息。

雷鋒網(wǎng)得知，作為爭議頗大的軟件，HP Touchpoint Analytics一度成為惠普買家的心頭大患。在網(wǎng)上，有網(wǎng)友說電腦會默認(rèn)安裝軟件并自動運(yùn)行，因此會長期占用電腦資源，甚至導(dǎo)致電腦卡頓或者死機(jī)。

So，即使是現(xiàn)在，如果有朋友問你相關(guān)HP Touchpoint Analytics的問題，想必就是：如何卸載掉這個垃圾軟件。

在網(wǎng)上炸開鍋后，惠普第一時間給予回應(yīng)，果斷否定了HP Touchpoint Analytics是間諜軟件的說法。

惠普官方稱，自2014年以來，這個程序就被安裝在惠普的筆記本電腦上，作為其Support Assistant的一部分，該程序?qū)⑹占嘘P(guān)筆記本電腦硬件性能的匿名信息。

這些匿名信息你可以選擇和惠普共享，也可以將它作為日志文件存儲在你的計算機(jī)本地，如果你允許惠普的技術(shù)支持人員訪問日志，這些日志則可以幫助技術(shù)支持人員診斷問題。

LEP漏洞讓黑客“美夢成真”

網(wǎng)友之所以有上述猜測，是因為HP TouchPoint Analytics本事大多數(shù)HP Windows筆記本電腦和臺式機(jī)的默認(rèn)監(jiān)控應(yīng)用，其權(quán)限范圍包括獲取用戶的日志信息。

況且，2014年至今已有不計其數(shù)的惠普電腦裝載了這一應(yīng)用，一旦出現(xiàn)安全問題，波及面積之廣不言而喻。

當(dāng)然，惠普給予了回應(yīng)，但是卻像極了下面這張圖：

正所謂哪壺不開提哪壺，這不，SafeBreach Labs 的研究員 Peleg Hadar在7月4日向惠普提交了一份LPE 漏洞報告，4.1.4.2827以下的所有 HP Touchpoint Analytics Client版本均受影響。

Emm，世界多奇妙......

據(jù)悉，該本地提權(quán)(LPE) 漏洞的編號是CVE-2019-6333，存在于惠普監(jiān)控軟件所使用的 Open Hardware Monitor 開源庫中。

Hadar稱，問題是由于缺少安全的DLL加載所引起的。該安全DLL加載是由于使用不受控制的搜索路徑以及不驗證加載的DLL是否使用數(shù)字證書簽名導(dǎo)致了問題發(fā)生。

他補(bǔ)充到：“ 像這樣的DLL搜索順序劫持漏洞，通常在目標(biāo)計算機(jī)已經(jīng)滲透之后的惡意攻擊的后期才被利用。這有可能提升權(quán)限以獲取持久性并進(jìn)一步危害現(xiàn)在受到威脅的系統(tǒng)。

研究人員發(fā)現(xiàn)，HP Touchpoint Analytics服務(wù)（具有對計算機(jī)硬件的高權(quán)限級別訪問權(quán)限）將加載已簽名的Open Hardware Monitor第三方庫和三個缺失的DLL，分別名為atiadlxx.dll，atiadlxy.dll和Nvapi64以及 Windows PATH環(huán)境變量中的文件夾中的dll。

“可以確定的是，該開放源代碼庫可用于監(jiān)視計算機(jī)的溫度傳感器、風(fēng)扇速度、電壓、負(fù)載和時鐘速度等，數(shù)以千萬計的計算機(jī)將這一開放硬件監(jiān)視器用作監(jiān)視系統(tǒng)的一部分，包括HP Touchpoint Analytics” ，Hadar說。

加載未簽名的DLL

此外，研究人員還觀察到該服務(wù)探查了  C：/ python27目錄，該目錄包含一個訪問控制列表（ACL），該目錄為任何經(jīng)過身份驗證的用戶提供權(quán)限，并以NT AUTHORITY \ SYSTEM的形式執(zhí)行代碼。

雷鋒網(wǎng)得知，攻擊者先以常規(guī)用戶身份加載未簽名的DLL之后，可以提升其自身的未簽名DLL的特權(quán)，最終結(jié)果是，他能夠從Microsoft授權(quán)的供應(yīng)商HP數(shù)字簽名的進(jìn)程中執(zhí)行代碼。

因此，攻擊者可能出于不同目的（例如執(zhí)行和逃避）濫用這種“應(yīng)用程序白名單繞過”和“簽名驗證繞過”的功能。

惠普：漏洞已修復(fù)

這就是文章開頭，宅宅說各位惠普的用戶差點(diǎn)成為黑客“串門”對象的原因。

不過好在惠普在收到報告后于10月4日發(fā)布了HP Touchpoint Analytics Client 4.1.4.2827版本，這才修復(fù)了上述漏洞。

同時，惠普還發(fā)布了檢測設(shè)備是否易受攻擊的緩解方案。SafeBreach 公司的首席技術(shù)官兼創(chuàng)始人 Itzik Kotler 指出，“這些類型的漏洞值得注意，因為它們說明了惡意黑客如何能夠利用供應(yīng)鏈攻擊瞄準(zhǔn)并攻破軟件生態(tài)系統(tǒng)中極其受信任的元素?！?/p>

惠普發(fā)布的安全公告可見：

https://support.hp.com/us-en/document/c06463166

LPE 漏洞的技術(shù)詳情可見：

https://safebreach.com/Post/HP-Touchpoint-Analytics-DLL-Search-Order-Hijacking-Potential-Abuses-CVE-2019-6333

參考來源：bleepingcomputer

雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。