Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Keylogger w sterownikach audio – podatne laptopy HP i innych vendorów

11 maja 2017, 17:33 | Aktualności | komentarzy 10
Tego jeszcze nie było – w dużym skrócie jeśli macie na swoim Windows plik C:\Users\Public\MicTray.log powinniście czuć się zaniepokojeni – jest to bowiem log zawierający naciśnięte przez Was na klawiaturze przyciski (czyli w uproszczeniu log z ukrytego keyloggera).

Co więcej, uprawnienia do tego pliku są takie: world-readable (!). Jest też dostępny prosty skrypt w PowerShellu dekodujący ww.  plik do sekwencji klawiszy.

Problem kryje się w całkiem normalnym komponencie Conexant HD Audio Driver Package:

Conexant’s MicTray64.exe is installed with the Conexant audio driver package and registered as a Microsoft Scheduled Task to run after each user login. The program monitors all keystrokes made by the user to capture and react to functions such as microphone mute/unmute keys/hotkeys.

Jak nie macie pliku MicTray.log to nie jeszcze powód do radości:

In addition to the handling of hotkey/function key strokes, all key-scancode information [2] is written into a logfile in a world-readable path (C:\Users\Public\MicTray.log). If the logfile does not exist or the setting is not yet available in Windows registry, all keystrokes are passed to the OutputDebugString API, which enables any process in the current user-context to capture keystrokes without exposing malicious behavior.

Czyli inne procesy działające z Waszego konta mogą czytać naciskane przez Was klawisze… sprawdźcie lepiej czy nie działają Wam procesy MicTray64.exe lub MicTray.exe.

Jak żyć? Zobaczcie na listę podatnych urządzeń HP (choć uczciwie trzeba przyznać że błąd nie jest winą samego HP, ale raczej vendora – Conexant – z którego oprogramowania ten pierwszy korzysta). Tu podatne są HP EliteBooki, ProBooki, ZBooki i inne lapki HP.

Zobaczcie też czy Wasz producent komputera nie wypuścił swojego patcha na feralny komponent.

–Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. John Sharkrat

    Nie, nie, nie. Nie bawię się tak. Znowu czegoś nie mam

    Odpowiedz
    • Neevor

      Łączę się w bulu i nadzieji.
      U mnie nawet tego exe w systemie nie widać – korporacyjne bezpieczniki dają radę.

      Odpowiedz
    • Borsuk

      Wysłać Ci? ;-)

      Odpowiedz
    • Zyzio
      Odpowiedz
      • John Sharkrat

        Ten wirus to tak naprawdę wirus albański. Sam go swego czasu rozsyłałem. Od 2012 nosi nazwę wirusa polskiego lub irlandzkiego

        Odpowiedz
  2. M.in. dlatego nie należy używać Windows, jeśli dna się o bezpieczeństwo i prywatność.

    Odpowiedz
  3. SuperTux

    Hehe. Nie mam tego syfu, a mam „podatny” sprzęt. Może dlatego, że zainstalowałem sterownik audio Realteka który wydaje się być zgodny ze sprzętem Conextanta.

    Odpowiedz
  4. No cóż… Windows kolejny raz przekonuje mnie że dokonałem słusznego wyboru wybierając Ubuntu. Polecam wszystkim którzy chcą czuć się bezpiecznie podobną zmianę.

    Odpowiedz
  5. kendzi

    A ja mam i plik i proces :/

    Odpowiedz
  6. rene rademenes

    kurcze coś mnie ominęło….
    u mnie żaden *.exe nie działa, może mam jakiegoś wirusa, bo co z internetu pobieram program i nazywasiejakos.exe to i tak mi nie działa :(

    Odpowiedz

Odpowiedz