专栏名称: 看雪学苑

致力于移动与安全研究的开发者社区，看雪学院(kanxue.com)官方微信公众帐号。

惠普笔记本音频驱动竟内置键盘记录器后门！

看雪学苑 · 公众号 · 互联网安全 · 2017-05-12 17:57

正文

惠普笔记本音频驱动竟内置键盘记录器后门！

漏洞概要

CVE-ID：CVE-2017-8360

漏洞类型：Covert Storage Channel（后门）

漏洞等级：高危/中危

漏洞产品：音频驱动程序（麦克风托盘程序）

影响版本：<= 1.0.0.46

影响组件：计划任务 C:\windows\system32\mictray64.exe

攻击类型：本地

供应商：Conexant Systems公司（世界最大的通信电子半导体独立研发厂商）

概述：

瑞士安全公司研究员发现惠普音频驱动中内置键盘记录器监控用户的所有按键输入。按键记录器会通过监控用户所按下的键来记录所有的按键。恶意软件和木马通常会使用这种功能来窃取用户账户信息、信用卡号、密码等私人信息。根据计算机机型的不同，惠普还将一些代码嵌入由Conexant开发的音频驱动中从而控制特殊键如键盘上的Media键。

惠普的缺陷代码 (CVE-2017-8360) 实现不良，它不但会抓取特殊键，而且还会记录每次按键并将其存储在人类可读取的文件中。这个记录文件位于公用文件夹C:\Users\Public\MicTray.log中，包含很多敏感信息如用户登录数据和密码，其它用户或第三方应用程序都可访问。

因此安装到计算机上的恶意软件甚至是能物理接近计算机的人都能够复制日志文件并访问所有的用户按键、提取敏感数据如银行详情、密码、聊天日志和源代码。

受影响的机型包括HP Elitebook 800系列、EliteBook Folio G1、HP ProBook 600和400系列等等。完整列表如下：

硬件产品型号(S)

HP EliteBook 820 G3 Notebook PC

HP EliteBook 828 G3 Notebook PC

HP EliteBook 840 G3 Notebook PC

HP EliteBook 848 G3 Notebook PC

HP EliteBook 850 G3 Notebook PC

HP ProBook 640 G2 Notebook PC

HP ProBook 650 G2 Notebook PC

HP ProBook 645 G2 Notebook PC

HP ProBook 655 G2 Notebook PC

HP ProBook 450 G3 Notebook PC

HP ProBook 430 G3 Notebook PC

HP ProBook 440 G3 Notebook PC

HP ProBook 446 G3 Notebook PC

HP ProBook 470 G3 Notebook PC

HP ProBook 455 G3 Notebook PC

HP EliteBook 725 G3 Notebook PC

HP EliteBook 745 G3 Notebook PC

HP EliteBook 755 G3 Notebook PC

HP EliteBook 1030 G1 Notebook PC

HP ZBook 15u G3 Mobile Workstation

HP Elite x2 1012 G1 Tablet

HP Elite x2 1012 G1 with Travel Keyboard

HP Elite x2 1012 G1 Advanced Keyboard

HP EliteBook Folio 1040 G3 Notebook PC

HP ZBook 17 G3 Mobile Workstation

HP ZBook 15 G3 Mobile Workstation

HP ZBook Studio G3 Mobile Workstation

HP EliteBook Folio G1 Notebook PC

操作系统(S)

Microsoft Windows 10 32

Microsoft Windows 10 64

Microsoft Windows 10 IOT Enterprise 32-Bit (x86)

Microsoft Windows 10 IOT Enterprise 64-Bit (x86)

Microsoft Windows 7 Enterprise 32 Edition

Microsoft Windows 7 Enterprise 64 Edition

Microsoft Windows 7 Home Basic 32 Edition

Microsoft Windows 7 Home Basic 64 Edition

Microsoft Windows 7 Home Premium 32 Edition

Microsoft Windows 7 Home Premium 64 Edition

Microsoft Windows 7 Professional 32 Edition

Microsoft Windows 7 Professional 64 Edition

Microsoft Windows 7 Starter 32 Edition

Microsoft Windows 7 Ultimate 32 Edition

Microsoft Windows 7 Ultimate 64 Edition

Microsoft Windows Embedded Standard 7 32

Microsoft Windows Embedded Standard 7E 32-Bit

建议：

如果你的系统中存在如下两个文件，那么你的计算机上就存在这个按键记录器：

C:\Windows\System32\MicTray64.exe

C:\Windows\System32\MicTray.exe

如果系统中存在以上任意一个文件，那么用户应该删除或更名以上可执行文件以阻止音频驱动收集按键。

另外，如果你经常备份包含以上提到的公用文件夹的话，那么按键记录文件可能也存在于你的敏感数据中且以明文形式出现，任何人都可看到。所以也要记得删除这个按键记录文件。

Git 客户端工具 SourceTree 有命令注入漏洞

Mac和Windows平台的Git客户端工具SourceTree，被发现存在命令注入漏洞（CVE-2017-8768）。专门用作追踪应用程序问题的澳大利亚公司Atlassian将此漏洞的严重性级别评为严重。SourceTree的命令注入漏洞来自URI句柄的影响。该漏洞可以通过浏览器或SourceTree界面触发。SourceTree for Mac从1.4.0与2.5.1之间的版本受此漏洞的影响。SourceTree for Windows从0.8.4b与2.0.20.1之前的版本受此漏洞的影响

谷歌称安卓权限漏洞将在Android O 中修复

谷歌周二表示，一个权限漏洞使Android用户面临恶意软件、勒索软件和广告软件攻击的风险升高，对于该漏洞的修补直到下一个Android O发布才能解决。安全厂商Check Point表示，攻击者可以利用该漏洞直接从Google Play安装的应用程序获得广泛的权限，这个漏洞使Android用户面临多种类型的攻击。

更多详情、资讯，戳左下角“阅读原文”查看哦！

或者网页浏览看雪学院 www.kanxue.com，即可查看哦！

往期热门内容推荐

更多优秀文章，长按下方二维码，“关注看雪学院公众号”查看！

看雪论坛：http://bbs.pediy.com/

微信公众号 ID：ikanxue

微博：看雪安全

投稿、合作：www.kanxue.com