Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
C’è un keylogger nascosto nei portatili HP
Lo strumento fa parte dei driver audio. Dovrebbe solo gestire li comandi da tastiera per volume e periferiche, ma registra tutto quello che viene digitato.
Un vero assist a pirati informatici e malware, che potrebbero accedere a una quantità impressionante di dati riservati, comprese username e password di posta elettronica e servizi Internet.
A farlo è stata HP, che nei suoi driver audio per portatili avrebbe inserito una sorta di “keylogger involontario”, cioè un programma che registra tutto quello che viene digitato sulla tastiera dall’utente.
La scoperta è avvenuta a opera dei ricercatori di Modzero, una società di sicurezza svizzera che avrebbe individuato la vulnerabilità lo scorso 28 aprile e che l’ha resa pubblica ieri.
Il problema si annida nei driver audio Conexant High-Definition (HD) e, in particolare, in un file chiamato MicTray64.exe, che è programmato per entrare in funzione a ogni avvio di Windows.
Il suo compito è quello di eseguire un monitoraggio continuo dei tasti premuti dall’utente per individuare eventuali comandi indirizzati alla gestione dell’audio, come l’aumento o la diminuzione del volume, l’attivazione/disattivazione del microfono e altre istruzioni simili.
Il problema è che MicTray64.exe non si limita a monitorare quali tasti vengono premuti: memorizza tutto in un file chiamato Mictray.log che viene salvato all’interno della cartella C:\Utenti\Pubblica.
Insomma: chi dovesse mettere le mani sul file, anche semplicemente attraverso l’accesso fisico al computer, avrebbe tra le mani una particolareggiata trascrizione di tutto quanto è stato digitato sul computer.
Stando a quanto risulta nel report pubblicato da Modzero, MicTray64.exe sarebbe presente anche nella versione più recente (10.0.931.89 REV:Q) dei driver HP.
Lo stesso, naturalmente, può essere fatto attraverso un malware programmato ad hoc per andare a recuperare il file e trasmetterlo a un pirata informatico.
Ma come è venuto in mente a HP di fare un autogol del genere? La possibile spiegazione è arrivata con il comunicato stampa ufficiale di HP in merito alla vicenda. L’azienda statunitense specifica infatti che “il nostro partner (Conexant – ndr) ha sviluppato il software in questione per testare il funzionamento dell’audio durante lo sviluppo prima della pubblicazione e la funzione non avrebbe dovuto essere presente nella versione finale”.
Una versione decisamente plausibile, anche perché l’idea che un file di log di questo genere venga memorizzato in chiaro in una cartella così “esposta” fa effettivamente pensare all’ingenuità di uno sviluppatore che si è scordato di rimuovere uno strumento di test.
Il problema, però, non si limita al file di log. I driver HP, infatti, prevedono che nel caso in cui il file non sia presente (ad esempio perché è stato rimosso) le informazioni siano “girate” a un’API chiamata OutputDebugString.
Il che, nella pratica, significa che un malware potrebbe sfruttare l’API per agire come keylogger, rendendone più difficile l’individuazione da parte degli antivirus che, normalmente, si focalizzano su altri componenti di sistema che i pirati sfruttano a questo scopo.
Il pacchetto software viene preinstallato sui notebook HP ed è presente in 28 modelli di portatili che i ricercatori di Modzero elencano nel report stesso.
Il consiglio degli stessi ricercatori è quello di controllare l’eventuale presenza dei file (l’eseguibile è in c:\Windows\System32\MicTray64.exe) e, se presenti, rimuoverli. Attenzione però: la rimozione di MicTray64.exe comporta il fatto che le scorciatoie da tastiera per i controlli audio non funzioneranno più.
HP, in ogni caso, starebbe lavorando per rendere disponibile al più presto un aggiornamento che risolva il problema. Certo, tutto questo si sarebbe potuto evitare se dalle parti di HP (e di Conexant) avessero prestato maggiore attenzione alle comunicazioni inviate da Modzero.
Stando a quanto riportato dalla società svizzera, infatti, tutti i loro tentativi di entrare in contatto con i responsabili della sicurezza delle due aziende sarebbero andati a vuoto, fino a quando i ricercatori non hanno deciso di rendere pubblica la vulnerabilità.
Condividi l'articolo
Bug nell’aggiornamento: Avast blocca l’accesso a Internet
Ecco gli zero-day usati per attaccare Macron
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
One thought on “C’è un keylogger nascosto nei portatili HP”