Gat in HP-driver dankzij kopie uit open source
HP Inc. heeft een kwetsbaarheid gedistribueerd via zijn driversoftware waarmee Windows-pc's op kernelniveau te hacken zijn. Ontdekker SentinelOne stelt dat miljoenen pc's wereldwijd hierdoor geraakt zijn. Het securitybedrijf heeft de fout in de driver in februari dit jaar al gemeld bij de computermaker.
© HP Inc.
HP Inc.
De ontdekking wordt nu openbaar gemaakt, omdat HP Inc. een beveiligingsupdate heeft uitgebracht die het gat dicht. SentinelOne meldt hierbij dat het tot op heden geen bewijs heeft gevonden dat de kwetsbaarheid is misbruikt. De oorzaak is een kwetsbaarheid in opensourcesoftware, die developers van HP Inc. deels hebben gekopieerd voor eigen software van de pc-producent.
Ook randapparatuur
Het gaat om een driver voor HP's hardware in zijn OMEN-productlijn. Dat betreft gamingcomputers, maar ook randapparatuur zoals muizen. Voor configuratie en optimalisatie daarvan biedt de leverancier zijn software HP OMEN Gaming Hub. Dat pakket staat voorgeïnstalleerd op OMEN-laptops en -desktops, en valt te downloaden uit de Microsoft Store voor Windows-pc's waarop OMEN-randapparatuur wordt aangesloten.
Onder de motorkap van de afstelsoftware voor HP's gaminghardware bevindt zich de HpPortIox64.sys-driver die een grote kwetsbaarheid (CVE-2021-3437) blijkt te bevatten. Dit is ontdekt door SentinelOne, die daarbij de code heeft getraceerd. De HP-driver blijkt een gedeeltelijke kopie te zijn van "een andere problematische driver", stellen de security-onderzoekers van SentinelOne in een blogpost.
'Welbekende problemen'
Die 'bron'-driver is WinRing0.sys, ontwikkeld door OpenLibSys. Volgens SentinelOne heeft die software enkele problemen, die welbekend zijn. "De driver stelt user-mode applicaties in staat om diverse gepriviligeerde kernel-mode operations uit te voeren." Voor de afgeleide HP-driver komt dit neer op het lezen en schrijven van kernelgeheugen, het lezen en schrijven van PCI-configuraties, toegang tot I/O-poorten, en meer.
Kwaadwillenden kunnen deze vergaande mogelijkheden op het diepe kernelniveau van het besturingssystemen benutten voor verkeerde doeleinden. Daaronder het geheel overnemen van een computer door gebruikersrechten te escaleren naar privileges in de kernelmodus. Aanvallers hebben hiervoor wel lokale toegang nodig tot een Windows-systeem met daarop de kwetsbare OMEN-software van HP Inc. De kwetsbaarheid heeft een CVSS-score (Common Vulnerability Scoring System) van 7,8 op de schaal van 10.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee