HP计算机预安装软件出现可被接管系统的漏洞

安全研究人员发现，大多数HP计算机中一项预安装的软件存在权限升级漏洞，可能被黑甚至遭接管机器，HP呼吁用户尽快安装修补程序。

编号CVE-2019-6333的漏洞，是由安全厂商Safebreach研究人员Peleg Hadar发现，位于HP计算机的预安装软件Touchpoint Analytics中，该漏洞可能让本地攻击者上传未签章的恶意DLL文件到具管理员权限的服务中，完成权限升级和渗透（privilege escalation and persistence）。

这并非TouchPoint Analytics第一次引发安全疑虑。2017年，HP计算机用户首度发现HP在未获得其同意下，在其计算机中安装HP Touchpoint Analytics，被杀毒软件检测为恶意程序。

大部分HP计算机都安装了Touchpoint Analytics，它主要是用于匿名搜集及诊断硬件性能，并进行磁盘扫描及电池测试，因为它是以NT Authority\System账号执行，具有管理员权限。Touchpoint Analytics启动后，其中的Open Hardware Monitor组件下载第三方经签章的签章核心驱动程序WingRing0，并在系统（System）账号下对低端硬件包括物理内存、CPU或GPU执行程序代码，像是诊断检测。研究人员即利用该漏洞制作概念验证（PoC）攻击程序。

Safebreach研究小组利用驱动程序函数提供读/写、to/from物理内存的选项对DLL文件加以改造。在PoC中，即使DLL文件未获得签章，但利用这项漏洞，研究人员仍能成功截取并打印出物理内存中的任意内容。研究人员指出，本项漏洞还能允许攻击者利用经签章的服务做更高端的攻击，像是借此绕过应用程序白名单过滤（application whitelisting）及签章验证机制。此外，攻击者还可借此逃过微软于Windows 10加入的驱动程序强制签章（driver signature enforcement，DSE）保护。事实上，HP TouchPoint Analytics本身就内置了获签章的驱动程序核心WingRing0，省了攻击者不少麻烦。

本漏洞影响4.1.4.2827之前版本的TouchPoint Analytics。经研究人员通报后，HP已经发布最新版本。虽然本漏洞仅允许本地攻击，CVSS风险分数为6.7，属于中低度风险，但是由于每台HP计算机都有安装，HP仍呼吁用户尽快升级。