Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

CERT-SE söker IT-säkerhetsspecialist, teknikinformatör, IT-säkerhetsanalytiker och personal till vår nya Desk.
Sista dag för ansökan är 15 oktober.

Uppdaterad | Publicerad - Sårbarhet, keylogger, Conexant, HP

Drivrutin från Conexant Audio loggar tangenttryckningar

En keylogger ingår i drivrutinen till ljudkretsen i vissa bärbara datorer från HP. Alla tangenttryckningar loggas till en fil på datorns lagringsmedia[1].

Vad har hänt?

Företaget Conexant tillverkar både ljudkretsen och drivrutinen som innehåller keyloggern. Den skadliga drivrutinen har funnits åtminstone sedan sent 2015. HP med flera datortillverkare använder Conexants produkter och ansvarar naturligtvis för den skadliga kod som datorerna levereras med. Det finns idag inget som tyder på att keyloggern är tillagd i syfte att spionera. Förmodligen är det en funktion för avlusning vid programutvecklingen som finns kvar. Inte desto mindre är det skadlig kod.

Vilka produkter / versioner är påverkade ?

Hittills har bara mjukvarorna MicTray.exe och MicTray64.exe (tillhörande Conexant HD audio driver package version 1.0.0.46 eller tidigare) befunnits vara skadliga. Dessa används i Windowsinstallationer på HP:s datorer med det är inte uteslutet att fler tillverkares datorer är påverkade. Hittills konstaterat påverkade modeller finns listade av HP[3].

Vad innebär sårbarheten?

Tangentinspelaren lagrar alla tangenter som trycks ned på tangetbordet, även användarnamn och lösenord samt övrig känslig text. Allt skrivs till filen C:\Users\Public\MicTray.log som är läsbar för alla användare. Filen skrivs över vid varje ny inloggning men äldre logfiler sparas naturligtvis i de säkerhetskopior man har gjort. Detaljer finns här[2].

Åtgärder

HP har släppt en fix som tar bort den keylogger som finns på flera av deras modeller[4].
Uppdatering: HP har kommit med ytterligare en fix som på ett bättre sätt avlägsnar keyloggern[5].
Alternativt kan man själv kontrollera ifall C:\Windows\System32\MicTray.exe eller C:\Windows\System32\MicTray64.exe körs i ditt system. Avinstallera isåfall denna fil. Viss tangentstyrd funktionalitet kan komma att påverkas.

Ytterligare läsning

[1] https://www.modzero.ch/modlog/archives/2017/05/11/en_keylogger_in_hewlett-packard_audio_driver/index.html
[2] https://www.modzero.ch/advisories/MZ-17-01-Conexant-Keylogger.txt
[3] ftp://whp-aus1.cold.extweb.hp.com/pub/softpaq/sp79001-79500/sp79420.html
[4] http://www.zdnet.com/article/keylogger-found-on-several-hp-laptops/
[5] https://support.hp.com/us-en/document/c05519670