HP Flaw permite a los piratas informáticos secuestrar su PC: qué hacer

¿Tienes una computadora portátil o de escritorio HP? Querrá asegurarse de que tenga los últimos parches de software de HP.

hp presagio 17 009

Esto se debe a que existe una falla grave en las versiones anteriores de Touchpoint Analytics , también conocido como HP Device Health Service, un programa de diagnóstico integrado en la mayoría de las PC HP con Windows. Un usuario o un programa con derechos administrativos podría usar Touchpoint Analytics para instalar malware de forma silenciosa y permanente a nivel del sistema, y ​​una cuenta de usuario limitado también podría hacerlo en ciertos casos.

HP solucionó este problema con Touchpoint Analytics / HP Device Health Service versión 4.1.4.2827 el 4 de octubre, pero es posible que no todos los usuarios de HP hayan recibido la actualización. Peleg Hadar, de la firma de seguridad SafeBreach, tiene una reseña técnica detallada de la falla en una publicación de blog hoy (10 de octubre), que resumimos a continuación.

Cómo asegurarte de que estás a salvo

Hay dos formas de verificar y resolver este problema: una si tiene Windows 10 y otra si no la tiene. El segundo método también funciona para Windows 10, pero es un poco más complicado. Ambos métodos requieren que inicie sesión como administrador.

Si tiene Windows 10, haga clic con el botón derecho en el icono de Windows en la parte inferior izquierda de su pantalla y seleccione Administrador de dispositivos. Desplácese hacia abajo y expanda la sección Componentes de software. Haga clic con el botón derecho en HP Device Health Service y seleccione Propiedades. Seleccione la pestaña Controladores y vea qué versión de HP Device Health Service tiene.

Desea tener la versión 4.1.4.2827. Si es inferior, entonces desea activar Windows Update para descargar e instalar la versión correcta.

Haga clic en el ícono de Windows en la parte inferior izquierda de su pantalla y seleccione el ícono de Configuración: se ve como un equipo de bicicleta. Haga clic en Actualizaciones y seguridad, luego Windows Update si es necesario, luego haga clic en el botón grande Buscar actualizaciones. Windows se encargará del resto.

MÁS: Las mejores computadoras portátiles HP

Si tiene una versión anterior de Windows, haga clic en el icono de Windows en la parte inferior izquierda de su pantalla, abra el menú Inicio y seleccione Panel de control. También puede simplemente escribir Panel de control en el campo de búsqueda. Busque y seleccione Programas y / o Programas y características. También es posible que deba seleccionar Desinstalar un programa. Busque el HP Touchpoint Analytics Client y vea qué número de versión aparece junto a él.

Nuevamente, desea tener la versión 4.1.4.2827. Si es inferior, tendrá que actualizarlo. Desafortunadamente, Windows Update no hará esto por usted en versiones anteriores a Windows 10, por lo que debe usar otra herramienta.

Vuelva a la parte inferior izquierda de su pantalla y escriba Herramientas administrativas. En la ventana Herramientas administrativas, haga doble clic en Programador de tareas. Haga clic con el botón derecho en Actualizador de TechPulse y seleccione Ejecutar.

Yendo por el camino equivocado

El problema aquí surge porque Touchpoint Analytics / HP Device Health Service utiliza un software de código abierto llamado Open Hardware Monitor para acceder a los componentes de bajo nivel de una PC, como la memoria física y las particiones de disco ocultas. (Puede descargar e instalar Open Hardware Monitor usted mismo aquí ).

Open Hardware Monitor no especifica la ubicación de ciertos repositorios de código llamados bibliotecas de enlaces dinámicos, o DLL, y no verifica el contenido de los propios DLL. Esto tiene sentido para una utilidad de Windows universalmente aplicable, pero cuando esa utilidad se reutiliza como un programa de diagnóstico con profundos privilegios del sistema, pueden suceder cosas malas.

Cuando se inicia Touchpoint Analytics, busca archivos DLL relacionados con muchos tipos posibles de hardware en una PC, incluidas tarjetas de video de terceros de AMD / ATI y Nvidia. Busca varios directorios probables, o rutas de archivos, para estas DLL.

Esas rutas de archivos están especificadas por una "variable de entorno" de todo el sistema llamada PATH que le dice a Touchpoint Analytics (y muchas otras aplicaciones de Windows) dónde buscar DLL y otros archivos ejecutables.

Pero si una computadora no tiene una tarjeta de video de un tercero, entonces no se encontrarán ni cargarán las DLL adecuadas. Investigadores de la firma de seguridad SafeBreach descubrieron que podían crear versiones falsas de las DLL de AMD / ATI y Nvidia, modificar la variable de entorno PATH de todo el sistema para agregar nuevos directorios en los que colocarían las DLL falsas, y hacer que Touchpoint Analytics eligiera y cargara el sistema. DLL.

Este tipo de cambio de DLL se conoce como inyección de DLL , y hace que un programa haga cosas que no debería. Los jugadores de PC a veces usan la inyección DLL para hacer trampa en los juegos, y los hackers maliciosos pueden usarlo para hacer que un programa ejecute código malicioso. (La inyección DLL funciona en sistemas Mac y Unix / Linux, así como en Windows).

Debido a que Touchpoint Analytics se ejecuta a nivel del sistema, puede hacer cualquier cosa en un sistema Windows, lo que significa que cualquier malware cargado a través de la inyección DLL también puede hacerlo.

Entonces, ¿por qué nos preocupa? Porque…

El problema es que en una máquina HP Windows estándar que usa la variable PATH predeterminada, nada de esto es posible a menos que ya tenga privilegios administrativos. Pero, por supuesto, si ya tiene privilegios administrativos, puede instalar malware de todos modos. Entonces te estarás preguntando cuál es el clamor.

En respuesta a una pregunta de Laptop, Hadar dijo que el alcance de la vulnerabilidad "depende de la variable de entorno PATH del sistema operativo de la víctima".

En otras palabras, si una máquina tiene modificaciones existentes en la variable de entorno PATH, entonces Touchpoint Analytics, o implementaciones de Open Hardware Monitor en otros sistemas, podrían cargar DLL maliciosas desde directorios que no son del sistema. Eso permitiría a un usuario con privilegios limitados, o malware instalado por la cuenta de un usuario limitado, inyectar una DLL maliciosa a nivel del sistema.

"Hemos visto algunos casos en los que esta vulnerabilidad era explotable por un usuario que no era administrador, porque una carpeta en particular en la RUTA era escribible por no administrador", nos dijo Hadar.

Hadar y SafeBreach encontraron una falla muy similar a principios de este año en las máquinas Dell que también fue causada por un servicio de diagnóstico que utilizaba software de terceros.

Crédito de la imagen: Laptop Mag