惠普监控组件被爆LPE，可使用系统权限

LYA 看雪学院 2021-03-13

说到惠普，大家一定会想到这家科技巨头近期的动荡。

股价大跌10%，未来三年将裁员9000人。

然而另一件事情也同样不能忽略。

惠普的电脑的程序被发现隐藏漏洞。

监视组件中存在漏洞

该漏洞源于惠普的开源程序，即HP TouchPoint Analytics。研究人员发现该软件存在漏洞，已导致数千万台计算机处于被执行任意代码攻击的风险之中。

HP TouchPoint Analytics是惠普计算机中一个默认的关键的监视组件，具有最高级别的“ NT AUTHORITY \ SYSTEM”权限运行，能够收集并诊断计算机硬件性能的相关问题。目前，该服务以Windows服务的形式预先安装在大多数HP计算机上，因此这一攻击的影响范围十分广泛。

该漏洞名为CVE-2019-6333，CVSS评分为6.7，类别是本地特权升级（LPE）漏洞，严重程度为中等，HP监控软件使用的Open Hardware Monitor库中发现的。

CVE-2019-6333允许潜在的攻击者使用系统级特权执行恶意有效负载，并通过绕过应用程序白名单来逃避反恶意软件检测，这使得攻击更具具有隐蔽性。

开放源代码库

主要的攻击载体是DLL劫持。由于使用不受控制的搜索路径以及不验证加载的DLL是否使用数字证书签名，使计算机缺少安全的DLL加载，导致攻击变得更加轻松。

HP Touchpoint Analytics服务对计算机硬件具有高级别的访问权限，能够加载已签名的Open Hardware Monitor第三方库和三个缺失的DLL，分别为atiadlxx.dll，atiadlxy.dll和Nvapi64。

该开放源代码库可用于监视计算机的温度传感器，风扇速度，电压，负载和时钟速度。而这一漏洞导致数以千万计的计算机将开放源代码库。

因此，一旦这个漏洞被利用，将引发一系列恶意攻击活动。

研究人员在7月4日向惠普报告了此漏洞，惠普在10月4日发布Touchpoint Analytics Client 4.1.4.2827版本，修复了此漏洞，为避免。

此外，研究人员指出这类攻击之所以让人震惊，是因为它们表明恶意黑客可以轻松地针对和破坏我们软件生态系统中高度信任的元素进行供应链攻击。

*本文由看雪编辑 LYA 编译自 Threat post，转载请注明来源及作者。