Sicherheitslücke bei HP-Notebooks: Audio-Treiber schreibt Passwörter mit [Update: Sicherheits-Patch von HP]

Stefan Bubeck

Wieso landen Tastatureingaben und Passwörter in einer öffentlich lesbaren Datei? Schweizer Sicherheitsforscher haben sich einen Audio-Treiber auf HP-Geräten genauer angeschaut.

Sicherheitslücke bei HP-Notebooks: Audio-Treiber schreibt Passwörter mit [Update: Sicherheits-Patch von HP]
Bildquelle: HP.
Update vom 12.05.2017, 18:21 Uhr: HP hat mittlerweile die Sicherheitslücke bestätigt, wie ZDNET berichtet. Notebooks, die ab 2016 produziert worden sind, erhalten bereits einen Patch per Windows Update. Der Keylogger wird dann entfernt und die Log-Datei gelöscht. HP-Geräte aus 2015 werden im Laufe des heutigen Freitags mit einem Patch versorgt.
Mike Nash, Vize-Präsident von HP, versichert: HP habe durch die versehentliche Auslieferung des Keyloggers keinen Zugriff auf Kundendaten erlangt.

Originalartikel vom 11.05.2017:

Ein Audio-Treiber ist ein Stück Software, das eigentlich für die Verarbeitung und Ausgabe von Klängen eines Computers zuständig ist. Ein Zusammenhang mit der Tastatur und den darauf getätigten Eingaben ist erst auf den zweiten Blick zu erkennen: Damit Hotkeys für die Lautstärkeregulierung funktionieren, müssen die entsprechenden Informationen an den Audio-Treiber weitergegeben werden. Der Sicherheitsforscher Thorsten Schröder hat hier in einem Audio-Treiber-Paket auf HP-Notebooks eine Schwachstelle gefunden, die von kriminellen Hackern ausgenutzt werden könnte.

Audio-Treiber „MicTray64.exe“ schreibt alle Tasten-Codes in öffentliche Datei

Schröder ist Gründer des Schweizer Sicherheitsunternehmen modzero AG. Er schildert in einem ausführlichen Blog-Beitrag den Keylogger, der Teil des Audio-Treibers „MicTray64.exe“ von Conexant ist. „Eigentlich besteht der Sinn der Software darin zu erkennen, ob eine Sondertaste gedrückt wurde,“ so der Sicherheitsexperte. Hier geht der Treiber allerdings mehr als nur einen kleinen Schritt weiter: Es werden „sämtliche Tastatureingaben“ in eine öffentlich zugängliche Log-Datei geschrieben. Darunter auch Passwörter im Klartext, selbst wenn diese auf dem Bildschirm nicht abgezeigt werden (siehe Screenshot oben). Das mache aus dem Audio-Treiber „effektiv einen Keylogger“, so Schröder.

Potenzielle Angreifer brauchen zwar weiterhin Zugriff auf das System, um diese Schwachstelle auszunutzen. Sie kommen jedoch in so einem Fall leichter an Tastatureingaben, da sie keinen eigenen Keylogger installieren müssen, der womöglich den Alarm einer Sicherheitssoftware auslösen würde. Dank des eifrig notierenden Audio-Treibers liegen alle interessanten Informationen schon parat.

Die Log-Datei wird bei jedem Anmeldevorgang (Neustart) am Notebook überschrieben.

Bilderstrecke starten
27 Bilder
26 Fabrikverkäufe und Outlets, bei denen du so richtig Geld sparst.

Sicherheitslücke im Audio-Treiber: Betroffene HP-Geräte

  • HP EliteBook 820 G3 Notebook PC
  • HP EliteBook 828 G3 Notebook PC
  • HP EliteBook 840 G3 Notebook PC
  • HP EliteBook 848 G3 Notebook PC
  • HP EliteBook 850 G3 Notebook PC
  • HP ProBook 640 G2 Notebook PC
  • HP ProBook 650 G2 Notebook PC
  • HP ProBook 645 G2 Notebook PC
  • HP ProBook 655 G2 Notebook PC
  • HP ProBook 450 G3 Notebook PC
  • HP ProBook 430 G3 Notebook PC
  • HP ProBook 440 G3 Notebook PC
  • HP ProBook 446 G3 Notebook PC
  • HP ProBook 470 G3 Notebook PC
  • HP ProBook 455 G3 Notebook PC
  • HP EliteBook 725 G3 Notebook PC
  • HP EliteBook 745 G3 Notebook PC
  • HP EliteBook 755 G3 Notebook PC
  • HP EliteBook 1030 G1 Notebook PC
  • HP ZBook 15u G3 Mobile Workstation
  • HP Elite x2 1012 G1 Tablet
  • HP Elite x2 1012 G1 with Travel Keyboard
  • HP Elite x2 1012 G1 Advanced Keyboard
  • HP EliteBook Folio 1040 G3 Notebook PC
  • HP ZBook 17 G3 Mobile Workstation
  • HP ZBook 15 G3 Mobile Workstation
  • HP ZBook Studio G3 Mobile Workstation
  • HP EliteBook Folio G1 Notebook PC

Mindestens seit Weihnachten 2015 ist der Keylogger so auf HP-Rechnern zu finden. Ob es sich hierbei um eine absichtlich eingebaute Sicherheitslücke handelt, ist unwahrscheinlich. Schröder konnte keine Hinweise darauf finden, dass dies mutwillig geschehen sei, er vermutet vielmehr eine „Nachlässigkeit der Entwickler“. HP Enterprise (HPE) ist die Lücke bekannt und kommuniziert sie derzeit intern an entsprechende Ansprechpartner.

Keylogger bei HP: Entsprechende Dateien am besten löschen

Das hilft: Besitzer betroffener HP-Geräte sollten das Programm C:\Windows\System32\MicTray64.exe oder C:\Windows\System32\MicTray.exe löschen oder umbenennen, damit keine Tastatur-Anschläge mehr aufgezeichnet werden. Die Sonderfunktions-Tasten werden dann allerdings nicht mehr (wie gewohnt) funktionieren. Die Log-Datei C:\Users\Public\MicTray.log sollte ebenso umgehend gelöscht werden, denn hier sind die Aufzeichnungen des Keyloggers enthalten.

Quellen: modzero, Heise

Zu den Kommentaren

Kommentare zu dieser News

* Werbung