Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

HP patcht toetsenborddriver die als keylogger te gebruiken was

HP heeft patches voor een groot aantal laptops uitgebracht nadat een beveiligingsonderzoeker had vastgesteld dat de Synaptics Touchpad-driver een keylogger bevatte die door het aanpassen van een registerwaarde ingeschakeld kon worden. Volgens HP gaat het om debuggingcode.

In de beschrijving van de patches meldt HP dat de kwetsbaarheid 'lokaal verlies van vertrouwelijkheid' met zich meebrengt en dat een aanvaller beheerdersrechten nodig heeft om ervan gebruik te maken. Op de desbetreffende pagina vermeldt het bedrijf verder dat meer dan 170 zakelijke modellen en meer dan 300 consumentenmodellen zijn getroffen.

De kwetsbaarheid is gevonden door beveiligingsonderzoeker Michael Myng, die zijn bevindingen beschrijft in een blogpost. Daarin meldt hij dat de code 'scancodes opsloeg in een wpp-trace'. Een toetsenbord maakt scancodes aan als de gebruiker een bepaalde toets indrukt. Wpp-tracing wordt volgens Microsoft gebruikt tijdens het debuggen van code tijdens de ontwikkeling van software.

Volgens de onderzoeker reageerde HP snel nadat hij zijn bevindingen aan het bedrijf had gemeld en zei het dat het code was die was overgebleven bij debugging. Doordat het bijhouden van de toetsaanslagen standaard uitstaat en via een registerwaarde ingeschakeld moet worden, kan de functie gebruikt worden door een aanvaller die de nodige rechten bezit.

Naast de patches van HP komt er ook een update via Windows uit, aldus de onderzoeker. Het is niet de eerste keer dat HP dit jaar reageert op de ontdekking van een keylogger. In mei vond een beveiligingsbedrijf een dergelijke functie in de de audiodriver van laptops.

Door Sander van Voorst

Nieuwsredacteur

11-12-2017 • 10:42

60 Linkedin Google+

Submitter: Dutchredgaming

Reacties (60)

Wijzig sortering
Als je het eerste linkje klikt zie je dat HP al op 7 november een patch beschikbaar had. Is dit dan oud nieuws?
En dan .. een driver van 190MB? Dat is ook best flink toch? Of zitten daar alle modellen in één file?
Het achterlijke formaat komt hoofdzakelijk door de meegeleverde tutorial die gebruikt maakt van animaties die in wmv en mpg vorm zijn opgeslagen. 8)7
Vaak is dat een all-in-one package. Dat is voor het distribueren in een zakelijke omgeving heel onhandig, omdat je dan ook meteen tools meeneemt die je juist niet wilt hebben op de laptop van de gebruiker. Dan is het dus sowieso handig om een MSI of iets dergelijks te vinden, in plaats van zo'n exe. Ook omdat je dit soort updates verplicht moet maken als installatie en dat dus op de achtergrond moet gebeuren. Met een setup.exe of iets dergelijks gaat dat niet, want er moet op volgende worden gedrukt. Met .exe's kun je wel gewoon /createmsi erachter knallen, zodat hij er een MSI van maakt. Door bijvoorbeeld <bestand>.msi /quiet te doen, kun je deze dus wel op de achtergrond installeren.

[Reactie gewijzigd door AnonymousWP op 11 december 2017 11:11]

"Met een setup.exe of iets dergelijks gaat dat niet, want er moet op volgende worden gedrukt."

Veel .exe installers ondersteunen gewoon /silent of /quiet of iets degelijks, dat is dan vaak geen ramp om op die manier uit te moeten rollen zonder dat je er een msi van hoeft te maken. Daarnaast kan je ook met AutoIT wrappers om wizards maken die op Volgende klikken of zaken invullen etc. Heb een blauwe maandag voor een middelbare school met dergelijke scenario's gewerkt, vandaar.
Dat wel inderdaad, zoals ik al uitlegde, maar niet de installers waarbij interactie met de gebruiker een vereiste is.
Snap ik, maar je stelde dat het met een setup.exe 'niet gaat', terwijl slechts een deel van die installers het niet ondersteunen.
Klopt, want dat zeg ik nota bene in datzelfde bericht :p. Bij HP WLAN-drivers had ik dus dat probleem.
Groot verschil tussen EXE installer en een MSI package: de laatste is in principe declaratief, passief, van aard en wordt door de system installer verwerkt terwijl de EXE installer van alles kan zijn, procedureel, een programma. Omdat de installer EXE zelf met administratieve rechten wordt uitgevoerd - het programma dat geïnstalleerd wordt kan hoogst waarschijnlijk prima met beperkte rechten uit de voeten - zijn dergelijke installers een bron van ellende.
Onder Linux/BSD wordt traditioneel altijd gebruik gemaakt van packages voor de installatie van programmatuur (bekende package formaten: deb, rpm).

Daarnaast is 190 MB voor een keyboard driver bizar groot, zelfs wanneer het een cumulatieve update is van (alle) HP apparatuur specifieke drivers. Dat betekent waarschijnlijk dat de installer meer dan alleen de driver(s) bevat. Bovendien is het vreemd dat voor deze generieke onderdelen (toetsenbord, touchpad, enz) HP een eigen drivers levert; MS Windows ondersteunt die onderdelen ook vast prima.
Bovendien is het vreemd dat voor deze generieke onderdelen (toetsenbord, touchpad, enz) HP een eigen drivers levert; MS Windows ondersteunt die onderdelen ook vast prima.
Helemaal mee eens, maar vergeet niet dat fabrikanten nog wel eens (en vooral bij laptops) wat extra knopjes en keyboard shortcuts willen toevoegen. Bij diverse laptops al tegen aangelopen dat dat soort extra functionaliteit niet werkt zonder fabrikant specifieke drivers, erg irritant.
Ik weet nog dat de HP printer drivers op twee DVD's geleverd moesten worden. :Y)
Hoho, dat waren alle drivers en die kan je, of eigenlijk nu niet meer, nog downloaden. Hier zaten firmwares bij, echt alles.
Dat is het hele pakket, geen idee wat er allemaal in zit, maar de driver zelf is 616 KB
Kost meer tijd om de verbeterde ligger in 190MB data te vinden :)

Het is geen toeval...
Ook handig om direct de keylogger in een ander deel van het pakket te gooien. :9
Oh? Het is niet alsof de driver 190 mb is? Hij is vast gesplitst in meerdere delen.
Dat is om de keylogger nog beter te verbergen :D
En wij maar denken dat het er uit is gehaald....
Nee, de blogpost is van afgelopen donderdag. Ik neem aan dat dat via responsible disclosure is gebeurd, en dat de onderzoeker dus eerst HP de kans heeft gegeven het te fixen, een patch uit te brengen en vervolgens pas de blogpost publiek te maken.
Een tijd geleden was dit echter al bekend: nieuws: HP zette vermoedelijk per ongeluk keylogger in audiodrivers - update en ik kreeg ook al vrij snel een update erna van mijn HP drivers. Ik dacht dat het dit probleem zou oplossen. Het zou ook wel erg laat zijn als dat nu pas gepatcht zou worden.
Dat was een audiodriver, hier gaat het om de keyboarddriver.
Oh, mijn fout sorry.
Wel bijzonder dat het alweer om een keylogger gaat, je begrijpt mijn fout wel denk ik ;)
In de security bulletin van HP wordt voor mijn laptop driver package version 19.3.31.31 SP81891 aandragen als fix. Het vreemde is dat de digital signature voor SP81891 op 31 augustus staat en dat men dus ruim 2 maanden gewacht heeft met het publiceren van de fix?
Volgens de blogpost ging het om een (vergeten?) debug trace in de code. Patchen naar een andere versie die die regel niet heeft fixt het probleem; dat kan dus een versie zijn die al eerder gemaakt is, en die, al dan niet met opzet, de bug fixt.
lamaar

[Reactie gewijzigd door poktor op 11 december 2017 12:33]

Enigste meevaller is dat deze keylogger standaard uit staat en moet worden geactiveerd door een registry key aan te passen. Mits je niet lui bent geweest met je beveiliging zal je hiervan een UAC melding krijgen.
Of een beheerder in een domein die de waarde even op afstand voor je aanpast...
Maar een domeinbeheerder kan sowieso je volledige pc beheren, monitoren of voorzien van aanvullende software dus dan is de genoemde kwetsbaarheid nauwelijks een verhoogd risico.
Die kan sowieso een keylogger installeren zonder dat je het doorhebt.
Ligt eraan of het een user of machine key is.
Userkeys triggeren de uac niet
Wat is dat toch met dat telemetrie gedoe en datagraaien tegenwoordig? Zijn ze allemaal soms jaloers op Google en Facebook als über datagraaiers waardoor bedrijven vinden dat ze ook recht op dat stukje taart hebben? En als ze gepakt worden is het uiteraard altijd een foutje (dat ze betrapt zijn natuurlijk).
MS loopt waarschijnlijk binnenkort wel tegen een fikse boete aan met de privacy schendingen in Windows 10 (althans daar zijn we flink voor aan het lobby'en in Europa) dus dat zou toch veel bedrijven moeten weerhouden om in dezelfde valkuil te trappen. Maar goed, zolang het volk niet piept is er niets aan de hand en graaien we gewoon lekker door, toch? En als we betrapt worden hangen we de vermoorde onschuld uit.
"Zijn ze allemaal soms jaloers"

Bedrijven zijn geen mensen, ze kunnen echter geld verdienen met data dus dan is het wel 'handig' als het 'per ongeluk' aan is blijven staan.
Daarom moet je de rest van de zin er ook bij betrekken want ik schrijf dat niet voor niets. Recht op dat stukje taart hebben gaat bij het bedrijfsleven over meeprofiteren, en dat gaat eigenlijk altijd om geld.
In het bedrijfsleven werken vaak hele simpele zielen die zien dat iemand ergens geld mee verdiend dus vinden ze al snel dat zij dat ook moeten kunnen. Sommigen noemen zoiets marktwerking maar als het om minder legale of moreel verwerpelijke zaken gaat noem ik dat gewoon crimineel.
Ik snapte je punt wel, maar dat is niet anders dan een slim geplaatste frietkar of een rij taxi's bij een groot evenement. Het gros van de bedrijven probeert een graantje mee te pikken van trends of andere grote bewegingen. Dat is volgens mij geen marktwerking want dat slaat op het effect van de markt op de prijsvoering (zie energiebedrijven en zorgverzekeringen) en is ook niet gevoelig voor strafbaar zijn of niet. Drugshandel is een van de beste voorbeelden van marktwerking en is zo crimineel als de pest.
Zeg je nu dat jij op je werk anders bent dan buiten je werk?
Ik probeer het verschil aan te geven tussen het ervaren van een emotie als persoon (jaloezie, blijdschap, verdriet) en het bepalen van commercieel beleid (geld verdienen, service verlenen, wereld verbeteren) als bedrijf.
Dit was gewoon een debug functie die per ongeluk in een release versie terecht is gekomen. Er is geen enkele indicatie dat de gelogde data ook daadwerkelijk naar HP werd gestuurd. Waarschijnlijk kwam dit gewoon ergens in een .log bestandje terecht.

Debug functies zijn helemaal niets bijzonders. Zo is er ook bijvoorbeeld een functie in veel browsers die de lokale SSL keys logt, zodat je de encrypted verbindingen toch kan sniffen met wireshark. Als een kwaadwillende deze aanzet dan kan hij ook je verkeer afluisteren. Maar als deze zo veel toegang tot je PC heeft dat die dat kan doen, dan kan hij ook gewoon een andere logger installeren. Hetzelfde geldt voor deze functie. Het is een storm in een glas water.
Als ik het goed begrijp moet je dit handmatig downloaden en is dit (nog) niet beschikbaar via de update in device manager of windows update (ik krijg iig niks). Weet iemand of dit nog gaat komen?
Probeer het eens met HP Support Assistant, mogelijk kun je het daarmee wel binnenhalen.
Dank. Ik had gehoopt dat het uiteindelijk via die kanalen verspreid ging worden en niet alleen via een website.
Of probeer HP Softpaq download manager voor de zakelijke devices.
Het heeft wellicht ook impact op meerdere laptops aangezien de Synaptics driver in meerdere laptops wordt gebruikt, en niet alleen die van HP:
https://www.theregister.c...1/hp_synaptics_keylogger/
maar de drivers waar het om gaat zijn wel specifiek voor hp, niet de generic drivers van synaptics. de meeste laptops hebben standaard een door de fabrikant geleverde driver.

[Reactie gewijzigd door mjz2cool op 11 december 2017 11:52]

Gelukkig hoef ik sinds Windows 10 nauwelijks nog drivers van HP te gebruiken.
kon in 7 en 8 ook al wel hoor, had zelf altijd de generic drivers van synaptics omdat de gestures anders niet werkten
Alweer!!??

In april van dit jaar zat er nog een keylogger in de audio driver van Conexant die standaard HP laptops staat geïnstalleerd. Deze driver was te vinden op diverse laptops waaronder de Mobile Thin Client: MT42 en MT43. Een maand later werd de patch uitgebracht en die kon je handmatig downloaden op de site van HP.

Meer info is hier te vinden:
https://www.bleepingcompu...dio-driver-of-hp-laptops/
Alweer. Dat zegt een hoop over Quality Assurance en ontwikkelmethodiek bij HP. Niet dat ik daar veel illusies bij heb. Net als bij ieder groot bedrijf zal de ontwikkelafdeling wel een grote puinhoop zijn. Ooit had ik vertrouwen in HP omdat het bedrijf gerund werd door techneuten die kwaliteit voorop stelden maar die tijd lijkt lang vervlogen te zijn.

Ik snap eerlijk gezegd ook niet waarom HP z'n eigen toetsenborddriver moet ontwikkelen? Wat is er zo bijzonder aan dat toetsenbord dat het een eigen unieke driver nodig heeft? Die paar extra knopjes hebben ze inmiddels allemaal, daar zal toch wel een standaarddriver voor zijn?

Tot op zekere hoogte kan HP er waarschijnlijk niks aan doen, ze moeten werken binnen het raamwerk dat het OS (Windows) biedt. Het is wel een beetje des Windows om te verwachten dat iedere leverancier zelf een driver schrijft voor ieder stuk hardware.

Daar komt bij dat er aan drivers weinig eer is te behalen. Zolang de driver werkt kijkt niemand er ooit naar om. GPU's zijn de uitzondering, maar daar buiten raakt niemand ooit opgewonden over een driver. Dientegevolg is er ook niet veel geld beschikbaar voor goede programmeurs, en de programmeurs die er zijn willen vaak geen drivers schrijven. De kans is dus vrij groot dat het werk gedumpt wordt bij een goedkope ontwikkelaar die de reference driver van de chipbakker moet opleuken tot eindproduct.

PS.
Wat dat betreft heb ik liever het model van Linux waar veel meer met gestandaardiseerde drivers wordt gewerkt. Als je chip X gebruikt, dan gebruik je driver Y, onafhankelijk van welke leverancier een product heeft gebouwd rond chip X.
De meeste hardware kan met een beetje goede wil prima toe met standaard drivers. Als je apparaat echt zo nieuw en anders is dat de standaard driver niet voldoet, dan stuur je maar een patch voor de standaarddriver; dan hoef je niet bij nul te beginnen maar kan je je werk baseren op een driver die al uitgebreid is getest.
Niet dat er onder Linux geen fouten worden gemaakt, maar zo knullig als met deze drivers heb ik het nog niet gezien.
Het is dus een driver voor het touchpad, niet voor het toetsenbord.

Niet alleen HP laptops hebben een Synaptics touchpad, veel Dell laptops hebben dit ook. Zit daar dan niet hetzelfde probleem in? Is het eigenlijk een probleem van HP of een probleem van de fabrikant van het touchpad, Synaptics?
Inderdaad, om driver versie 19.3.11.37 16Aug16.

Iets wat je kunt controleren bij de eigenschappen van C:\windows\system32\drivers\syntp.sys. Tabblad Details.
Dus er zat/zit een keylogger in hun audiodriver EN hun toetsenborddriver, wow.
Zal wel toeval zijn toch?
misschien hebben andere fabrikanten ook keyloggers maar die zijn nog niet ontdekt 8-)

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True