Уязвимость в службе HP Touchpoint Analytics затрагивает миллионы ПК

Исследователи из компании SafeBreach, специализирующейся на симуляции взломов и атак, обнаружили опасную уязвимость (CVE-2019-6333) в службе HP Touchpoint Analytics. По оценкам специалистов, данная проблема затрагивает десятки миллионов компьютеров, на которых установлена данная служба.

HP Touchpoint Analytics поставляется со многими ноутбуками и персональными компьютерами на базе Windows производства Hewlett-Packard. Служба предназначена для анонимного сбора диагностической информации о производительности оборудования и для этого использует инструмент с открытым исходным кодом под названием Open Hardware Monitor.

При запуске службы HP Touchpoint Analytics служба пытается загрузить три отсутствующих DLL-библиотеки. Злоумышленник с правами администратора в целевой системе может создавать вредоносные DLL-библиотеки с именами отсутствующих файлов и размещать там, где они будут выполняться при запуске службы HP. Преступник таким образом может повысить привилегии до уровня SYSTEM и обойти механизмы безопасности (такие как «белый список» приложений и проверка цифровой подписи).

Специалисты также выяснили, что библиотеку Open Hardware Monitor можно использовать для чтения и записи в физическую память. Данная уязвимость представляет большую ценность для злоумышленников, поскольку службы Open Hardware Monitor и HP Touchpoint Analytics установлены на десятках миллионов компьютеров. Следует отметить, библиотека Open Hardware Monitor больше не поддерживается разработчиками. Последняя версия программы была выпущена в ноябре 2016 года, а последние изменения в коде, размещенном на GitHub, датируются январем 2018 года.

Исследователи предупредили компанию HP о данной проблеме в начале июля нынешнего года, и уязвимость была исправлена ​в версии Touchpoint Analytics 4.1.4.2827.

Напомним, в ноябре 2017 года компанию HP обвинили в установке шпионского программного обеспечения HP Touchpoint Analytics на компьютеры пользователей без их ведома. Тем не менее, HP пояснила, что служба собирает только данные о производительности оборудования и не отправляет их на серверы компании без согласия пользователей.