Masz laptopa lub komputer stacjonarny HP? Upewnij się, że ma najnowsze poprawki oprogramowania HP.
Dzieje się tak, ponieważ w starszych wersjach Touchpoint Analytics, czyli HP Device Health Service, programu diagnostycznego wbudowanego w większość komputerów HP z systemem Windows, występuje poważna usterka. Użytkownik lub program z uprawnieniami administracyjnymi może używać Touchpoint Analytics do cichego i trwałego instalowania złośliwego oprogramowania na poziomie systemu, a w niektórych przypadkach może to również robić konto użytkownika z ograniczeniami.
Firma HP rozwiązała ten problem za pomocą Touchpoint Analytics/HP Device Health Service w wersji 4.1.4.2827 4 października, ale nie wszyscy użytkownicy HP mogli jeszcze otrzymać aktualizację. Peleg Hadar z firmy zajmującej się bezpieczeństwem SafeBreach ma dziś szczegółowy opis techniczny usterki w poście na blogu (10 października), który podsumowujemy poniżej.
Jak upewnić się, że jesteś bezpieczny
Istnieją dwa sposoby sprawdzenia i rozwiązania tego problemu - jeden, jeśli masz system Windows 10, a drugi, jeśli nie. Druga metoda działa również w systemie Windows 10, ale jest nieco bardziej skomplikowana. Obie metody wymagają zalogowania się jako administrator.
Jeśli masz system Windows 10, kliknij prawym przyciskiem myszy ikonę Windows w lewym dolnym rogu ekranu i wybierz Menedżer urządzeń. Przewiń w dół i rozwiń sekcję Składniki oprogramowania. Kliknij prawym przyciskiem myszy HP Device Health Service i wybierz Właściwości. Wybierz kartę Sterowniki i sprawdź, którą wersję usługi HP Device Health Service posiadasz.
Chcesz mieć wersję 4.1.4.2827. Jeśli jest niższy, chcesz, aby usługa Windows Update pobrała i zainstalowała poprawną wersję.
Kliknij ikonę Windows w lewym dolnym rogu ekranu i wybierz ikonę Ustawienia – wygląda jak przerzutka rowerowa. Kliknij Aktualizacje i zabezpieczenia, a następnie Windows Update, jeśli to konieczne, a następnie kliknij duży przycisk Sprawdź aktualizacje. Windows zajmie się resztą.
WIĘCEJ: Najlepsze laptopy HP
Jeśli masz starszą wersję systemu Windows, kliknij ikonę Windows w lewym dolnym rogu ekranu, wyskakując menu Start i wybierz Panel sterowania. Możesz także po prostu wpisać Panel sterowania w polu wyszukiwania. Znajdź i wybierz Programy i/lub Programy i funkcje. Może być również konieczne wybranie opcji Odinstaluj program. Znajdź klienta HP Touchpoint Analytics i zobacz, który numer wersji znajduje się obok niego.
Ponownie, chcesz mieć wersję 4.1.4.2827. Jeśli jest niższy, musisz go zaktualizować. Niestety, Windows Update nie zrobi tego za Ciebie w wersjach starszych niż Windows 10, więc musisz użyć innego narzędzia.
Wróć do lewego dolnego rogu ekranu i wpisz Narzędzia administracyjne. W oknie Narzędzia administracyjne kliknij dwukrotnie Harmonogram zadań. Kliknij prawym przyciskiem myszy TechPulse Updater i wybierz Uruchom.
Zejście złą ŚCIEŻKĄ
Problem pojawia się tutaj, ponieważ usługa Touchpoint Analytics/HP Device Health Service korzysta z oprogramowania open source o nazwie Open Hardware Monitor, aby uzyskać dostęp do niskopoziomowych komponentów komputera, takich jak pamięć fizyczna i ukryte partycje dyskowe. (Możesz pobrać i zainstalować Open Hardware Monitor dla siebie tutaj.)
Open Hardware Monitor nie określa lokalizacji niektórych repozytoriów kodu zwanych bibliotekami dołączanymi dynamicznie lub bibliotekami DLL i nie weryfikuje zawartości samych bibliotek DLL. Ma to sens w przypadku uniwersalnego narzędzia Windows, ale gdy to narzędzie zostanie zmienione na program diagnostyczny z głębokimi uprawnieniami systemowymi, mogą się zdarzyć złe rzeczy.
Po uruchomieniu Touchpoint Analytics wyszukuje biblioteki DLL dotyczące wielu możliwych rodzajów sprzętu na komputerze, w tym kart graficznych innych firm od AMD/ATI i Nvidia. Przeszukuje kilka prawdopodobnych katalogów lub ścieżek plików dla tych bibliotek DLL.
Te ścieżki plików są określane przez ogólnosystemową „zmienną środowiskową” o nazwie PATH, która informuje Touchpoint Analytics (i wiele innych aplikacji systemu Windows), gdzie szukać bibliotek DLL i innych plików wykonywalnych.
Ale jeśli komputer nie ma karty graficznej innej firmy, odpowiednie biblioteki DLL nie zostaną znalezione ani załadowane. Badacze z firmy SafeBreach stwierdzili, że mogą tworzyć fałszywe wersje bibliotek DLL AMD/ATI i Nvidia, modyfikować systemową zmienną środowiskową PATH, aby dodać nowe katalogi, w których umieściliby fałszywe biblioteki DLL, a także pozwolić Touchpoint Analytics wybrać i załadować podejrzane Biblioteki DLL.
Ten rodzaj przełącznika DLL jest znany jako wstrzykiwanie DLL i sprawia, że program robi rzeczy, których nie powinien. Gracze komputerowi czasami używają wstrzykiwania DLL, aby oszukiwać w grach, a złośliwi hakerzy mogą to wykorzystać do uruchomienia złośliwego kodu przez program. (Wstrzykiwanie DLL działa na komputerach Mac i systemach Unix/Linux, a także w systemie Windows.)
Ponieważ Touchpoint Analytics działa na poziomie systemu, może robić wszystko w systemie Windows - co oznacza, że każde złośliwe oprogramowanie ładowane do niego przez wstrzyknięcie DLL również może.
Więc dlaczego nas to obchodzi? Ponieważ…
Haczyk polega na tym, że na standardowym komputerze HP z systemem Windows przy użyciu domyślnej zmiennej PATH nie jest to możliwe, chyba że masz już uprawnienia administratora. Ale oczywiście, jeśli masz już uprawnienia administratora, możesz i tak zainstalować złośliwe oprogramowanie. Więc możesz się zastanawiać, o co chodzi.
Odpowiadając na pytanie Laptopa, Hadar powiedział, że zakres luki „zależy od zmiennej środowiskowej PATH systemu operacyjnego ofiary”.
Innymi słowy, jeśli komputer ma istniejące modyfikacje zmiennej środowiskowej PATH, wówczas Touchpoint Analytics lub implementacje Open Hardware Monitor w innych systemach mogą być w stanie załadować złośliwe biblioteki DLL z katalogów innych niż systemowe. To pozwoliłoby użytkownikowi z ograniczonymi uprawnieniami lub złośliwemu oprogramowaniu zainstalowanemu przez konto ograniczonego użytkownika na wstrzyknięcie złośliwej biblioteki DLL na poziomie systemu.
„Widzieliśmy kilka przypadków, w których ta luka była wykorzystywana przez użytkownika niebędącego administratorem, ponieważ określony folder w PATH był zapisywany przez osobę niebędącą administratorem” – powiedział nam Hadar.
Hadar i SafeBreach na początku tego roku wykryli bardzo podobną lukę w komputerach Dell, która również została spowodowana przez usługę diagnostyczną wykorzystującą oprogramowanie innych firm.
Źródło obrazu: ReviewsExpert.net
Przewodnik po laptopach HP
- Poprzednia wskazówka
- Następna wskazówka
- Najlepsze laptopy i Chromebooki HP
- Jak HP wypada na tle innych marek laptopów
- Karta oceny i raportu pomocy technicznej HP
- Co obejmuje gwarancja HP?