关于惠普笔记本音频驱动存在内置键盘记录器后门漏洞的安全公告.docVIP

关于惠普笔记本音频驱动存在内置键盘记录器后门漏洞的安全公告 安全公告编号:CNTA-2017-0053 近期，国家信息安全漏洞共享平台（CNVD）收录了惠普笔记本音频驱动内置键盘记录器后门漏洞 (CNVD-2017-09590，对应编号CVE-2017-8360)。攻击者可利用在当前用户会话中运行的任何进程监控调试信息，记录用户通过键盘输入的任意内容，包括用户输入的密码等敏感数据，构成较为严重的信息泄露和运行安全风险。 一、漏洞情况分析 2017年4月28日，瑞士安全公司Modzero的安全研究员Thorsten Schroeder在审查WindowsActive Domain的基础设施时发现，惠普IT产品（笔记本电脑）中的Conexant音频驱动程序内置了用于调试产品的MicTray64.exe（键盘记录器），可记录用户的所有按键输入。在原出厂环境下，MicTray64.exe与Conexant音频驱动程序包被同时安装在笔记本电脑中，键盘记录功能除了处理快捷键/功能键的点击事件外，所有的键盘输入信息都会被写入所有用户权限都可读的路径中的日志文件（C:\Users\Public\MicTray.log）中，甚至会传递给OutputDebugStringAPI，这使得任何可以调用MapViewOfFile API的框架或者进程都能够通过用户的键盘输入信息静默的收集敏感数据，并在白名单机制下绕过杀毒软件检测。 CNVD对漏洞的综合评级为“高危”。 二、漏洞影响范围 受漏洞影响的硬件产品型号： HP?EliteBook?820?G3?Notebook?PC HP?EliteBook?828?G3?Notebook?PC HP?EliteBook?840?G3?Notebook?PC HP?EliteBook?848?G3?Notebook?PC HP?EliteBook?850?G3?Notebook?PC HP?ProBook?640?G2?Notebook?PC HP?ProBook?650?G2?Notebook?PC HP?ProBook?645?G2?Notebook?PC HP?ProBook?655?G2?Notebook?PC HP?ProBook?450?G3?Notebook?PC HP?ProBook?430?G3?Notebook?PC HP?ProBook?440?G3?Notebook?PC HP?ProBook?446?G3?Notebook?PC HP?ProBook?470?G3?Notebook?PC HP?ProBook?455?G3?Notebook?PC HP?EliteBook?725?G3?Notebook?PC HP?EliteBook?745?G3?Notebook?PC HP?EliteBook?755?G3?Notebook?PC HP?EliteBook?1030?G1?Notebook?PC HP?ZBook?15u?G3?Mobile?Workstation HP?Elite?x2?1012?G1?Tablet HP?Elite?x2?1012?G1?with?Travel?Keyboard HP?Elite?x2?1012?G1?Advanced?Keyboard HP?EliteBook?Folio?1040?G3?Notebook?PC HP?ZBook?17?G3?Mobile?Workstation HP?ZBook?15?G3?Mobile?Workstation HP?ZBook?Studio?G3?Mobile?Workstation HP?EliteBook?Folio?G1?Notebook?PC 受漏洞影响的操作系统： Microsoft?Windows?10?32 Microsoft?Windows?10?64 Microsoft?Windows?10?IOT?Enterprise?32-Bit?(x86) Microsoft?Windows?10?IOT?Enterprise?64-Bit?(x86) Microsoft?Windows?7?Enterprise?32?Edition Microsoft?Windows?7?Enterprise?64?Edition Microsoft?Windows?7?Home?Basic?32?Edition Microsoft?Windows?7?Home?Basic?64?Edition Microsoft?Windows?7?Home?Premium?32?Edition Microsoft?Windows?7?Home?Premium?64?Edition Microsoft?Windows?7?P