Chyba HP umožňuje hackerům unést váš počítač: Co dělat - RecenzeExpert.net

Máte notebook nebo stolní počítač HP? Budete se chtít ujistit, že má nejnovější softwarové opravy HP.

Důvodem je vážná chyba ve starších verzích Touchpoint Analytics, aka HP Device Health Service, diagnostického programu zabudovaného do většiny počítačů HP se systémem Windows. Uživatel nebo program s právy správce může pomocí Touchpoint Analytics potichu a trvale instalovat malware na úrovni systému a v určitých případech to může udělat i účet omezeného uživatele.

Společnost HP tento problém vyřešila pomocí služby Touchpoint Analytics/HP Device Health Service verze 4.1.4.2827 4. října, ale aktualizaci ještě nemuseli obdržet všichni uživatelé HP. Peleg Hadar z bezpečnostní firmy SafeBreach má podrobné technické zapsání chyby v dnešním příspěvku na blogu (10. října), který shrnujeme níže.

Jak se ujistit, že jste v bezpečí

Existují dva způsoby, jak tento problém zkontrolovat a vyřešit - jeden, pokud máte Windows 10, a jeden, pokud nemáte. Druhá metoda funguje také pro Windows 10, ale je trochu komplikovanější. Oba způsoby vyžadují, abyste byli přihlášeni jako správce.

Pokud máte Windows 10, klikněte pravým tlačítkem na ikonu Windows v levém dolním rohu obrazovky a vyberte Správce zařízení. Přejděte dolů a rozbalte část Softwarové součásti. Pravým tlačítkem klikněte na HP Device Health Service a vyberte Vlastnosti. Vyberte kartu Ovladače a podívejte se, jakou verzi služby HP Device Health Service máte.

Chcete mít verzi 4.1.4.2827. Pokud je nižší, pak chcete spustit Windows Update a stáhnout a nainstalovat správnou verzi.

Klikněte na ikonu Windows v levém dolním rohu obrazovky a vyberte ikonu Nastavení - vypadá to jako jízdní kolo. Klikněte na Aktualizace a zabezpečení, v případě potřeby na Windows Update a poté na velké tlačítko Zkontrolovat aktualizace. O zbytek se postará Windows.

VÍCE: Nejlepší notebooky HP

Pokud máte starší verzi systému Windows, klikněte na ikonu Windows v levém dolním rohu obrazovky, otevřete nabídku Start a vyberte Ovládací panely. Do vyhledávacího pole můžete také jednoduše zadat Ovládací panely. Najděte a vyberte Programy a/nebo Programy a funkce. Také budete muset vybrat možnost Odinstalovat program. Najděte klienta HP Touchpoint Analytics a podívejte se, které číslo verze je uvedeno vedle něj.

Opět chcete mít verzi 4.1.4.2827. Pokud je nižší, budete ji muset aktualizovat. Ve Windows před Windows 10 to Windows Update bohužel neudělá, takže musíte použít jiný nástroj.

Vraťte se zpět do levé dolní části obrazovky a zadejte Nástroje pro správu. V okně Nástroje pro správu poklepejte na Plánovač úloh. Klikněte pravým tlačítkem na TechPulse Updater a vyberte Spustit.

Jít špatnou PATH

Problém zde nastává, protože Touchpoint Analytics/HP Device Health Service používá pro přístup ke komponentám nižší úrovně počítače, jako je fyzická paměť a skryté diskové oddíly, software s otevřeným zdrojovým kódem nazvaný Open Hardware Monitor. (Zde si můžete stáhnout a nainstalovat Open Hardware Monitor.)

Open Hardware Monitor nespecifikuje umístění určitých kódových úložišť nazývaných dynamické knihovny nebo knihovny DLL a neověřuje obsah samotných knihoven DLL. To dává smysl pro univerzálně použitelný nástroj Windows, ale když je tento nástroj repurposed jako diagnostický program s hlubokými systémovými oprávněními, mohou se stát špatné věci.

Když se Touchpoint Analytics spustí, vyhledá knihovny DLL týkající se mnoha možných druhů hardwaru v počítači, včetně grafických karet třetích stran od AMD/ATI a Nvidia. Hledá tyto pravděpodobné adresáře nebo cesty k souborům pro tyto knihovny DLL.

Tyto cesty k souborům jsou specifikovány systémovou „proměnnou prostředí“ s názvem PATH, která sděluje Touchpoint Analytics (a mnoha dalším aplikacím Windows), kde hledat knihovny DLL a další spustitelné soubory.

Pokud ale počítač nemá grafickou kartu jiného výrobce, nebudou nalezeny ani načteny správné knihovny DLL. Vědci z bezpečnostní firmy SafeBreach zjistili, že by mohli vytvářet falešné verze knihoven DLL AMD/ATI a Nvidia, upravovat systémovou proměnnou prostředí PATH a přidávat nové adresáře, do kterých by vkládali falešné knihovny DLL, a nechat Touchpoint Analytics vybrat a načíst riskantní Dll.

Tento druh DLL switcheroo je známý jako injekce DLL a program dělá věci, které by neměl. Hráči na PC někdy používají podvádění DLL k podvádění ve hrách a zlomyslní hackeři jej mohou použít k spuštění škodlivého kódu v programu. (Injekce DLL funguje na počítačích Mac a Unix/Linux i na Windows.)

Protože Touchpoint Analytics běží na systémové úrovni, může v systému Windows dělat cokoli - což znamená, že jakýkoli malware načtený do něj pomocí injekce DLL může také.

Proč nás to tedy zajímá? Protože…

Háček je v tom, že na standardním počítači HP Windows používajícím výchozí proměnnou PATH není nic z toho možné, pokud již nemáte oprávnění správce. Pokud však již máte oprávnění správce, můžete samozřejmě malware nainstalovat i tak. Možná se tedy ptáte, co je to za pobouření.

V odpovědi na otázku z Laptopu Hadar uvedl, že rozsah zranitelnosti „závisí na proměnné prostředí PATH operačního systému oběti“.

Jinými slovy, pokud má počítač náhodou existující úpravy proměnné prostředí PATH, pak Touchpoint Analytics nebo implementace Open Hardware Monitor na jiných systémech mohou být schopny načíst škodlivé knihovny DLL z nesystémových adresářů. To by uživateli s omezenými oprávněními nebo malwarem nainstalovaným pomocí účtu omezeného uživatele umožnilo vložit škodlivou knihovnu DLL na úrovni systému.

„Zaznamenali jsme několik případů, kdy tuto chybu zabezpečení mohl zneužít uživatel, který není administrátorem, protože konkrétní složku v PATH mohl zapisovat jiný uživatel než administrátor,“ řekl nám Hadar.

Hadar a SafeBreach našli na strojích Dell počátkem tohoto roku velmi podobnou chybu, která byla také způsobena diagnostickou službou, která používala software třetích stran.

Obrazový kredit: ReviewsExpert.net