Исследователи в области кибербезопасности раскрыли подробности об уязвимости высокой степени серьезности в программном обеспечении драйвера HP OMEN, которая затрагивает миллионы игровых компьютеров по всему миру, оставляя их открытыми для целого ряда атак.
Уязвимость CVE-2021-3437 может позволить злоумышленникам повысить привилегии пользователя до уровня ядра без разрешения администратора, что позволит им отключать продукты безопасности, перезаписывать системные компоненты и даже повреждать операционную систему.
Компания по кибербезопасности SentinelOne, которая обнаружила уязвимость и сообщила о нем HP 17 февраля, заявила, что не нашла никаких доказательств её использования в реальных условиях. После этого компания по производству компьютерного оборудования выпустила обновление безопасности для своих клиентов, чтобы устранить проблему.
Сами проблемы кроются в компоненте под названием OMEN Command Center, который предустанавливается на ноутбуки и настольные компьютеры HP OMEN, а также может быть загружен из Microsoft Store. Программное обеспечение, помимо мониторинга GPU, CPU и оперативной памяти с помощью приборной панели, предназначено для тонкой настройки сетевого трафика и разгона игрового ПК для повышения производительности компьютера.
«Проблема заключается в том, что HP OMEN Command Center включает драйвер, который, якобы разработан HP, на самом деле является частичной копией другого драйвера, полного известных уязвимостей», — заявили исследователи SentinelOne в своём отчёте.
Речь идет о драйвере HpPortIox64.sys, который берет свою функциональность от разработанного OpenLibSys драйвера WinRing0.sys – проблемного драйвера, который в прошлом году стал источником локальной ошибки повышения привилегий в ПО EVGA Precision X1.
«Все эти функции предусмотрены разработчиками драйвера. Однако, поскольку эти запросы может выполнить непривилегированный пользователь, они дают возможность локального повышения привилегий», – отмечали исследователи из SpecterOps в августе 2020 года.
Результаты свидетельствуют, что WinRing0.sys уже во второй раз попадает в поле зрения экспертов, поскольку вызывает проблемы безопасности в продуктах HP.
В октябре 2019 года компания SafeBreach Labs выявила критическую уязвимость в ПО HP Touchpoint Analytics, которое поставляется в комплекте с драйвером, что потенциально позволяет злоумышленникам использовать компонент для чтения произвольной памяти ядра в обход проверки цифровой подписи.
Это открытие является третьим в серии уязвимостей безопасности, затрагивающих драйверы программного обеспечения, которые были обнаружены компанией SentinelOne с начала года.
Ранее в мае этого года компания из Маунтин-Вью раскрыла подробности о многочисленных уязвимостях повышения привилегий в драйвере обновления прошивки Dell под названием «dbutil_2_3.sys», которое оставалось незамеченными более 12 лет. Затем, в июле, компания также обнародовала информацию о серьезном дефекте переполнения буфера в файле «ssport.sys», используемом в принтерах HP, Xerox и Samsung, который, как выяснилось, присутствовал аж с 2005 года.
Ещё по теме: