HP Flaw permite a los piratas informáticos secuestrar su PC: qué hacer

¿Tiene una computadora portátil o de escritorio HP? Querrá asegurarse de que tenga los últimos parches de software de HP.

Esto se debe a que hay una falla grave en las versiones anteriores de Touchpoint Analytics, también conocido como HP Device Health Service, un programa de diagnóstico integrado en la mayoría de las PC HP que ejecutan Windows. Un usuario o un programa con derechos administrativos podría utilizar Touchpoint Analytics para instalar de forma silenciosa y permanente malware a nivel del sistema, y una cuenta de usuario limitado también podría hacerlo en ciertos casos.

HP solucionó este problema con Touchpoint Analytics / HP Device Health Service versión 4.1.4.2827 el 4 de octubre, pero es posible que no todos los usuarios de HP hayan recibido la actualización. Peleg Hadar, de la firma de seguridad SafeBreach, tiene una descripción técnica detallada de la falla en una publicación de blog de hoy (10 de octubre), que resumimos a continuación.

Cómo asegurarte de que estás a salvo

Hay dos formas de comprobar y resolver este problema: una si tiene Windows 10 y otra si no. El segundo método también funciona para Windows 10, pero es un poco más complicado. Ambos métodos requieren que inicie sesión como administrador.

Si tiene Windows 10, haga clic con el botón derecho en el icono de Windows en la parte inferior izquierda de la pantalla y seleccione Administrador de dispositivos. Desplácese hacia abajo y expanda la sección Componentes de software. Haga clic con el botón derecho en HP Device Health Service y seleccione Propiedades. Seleccione la pestaña Controladores y vea qué versión de HP Device Health Service tiene.

Quiere tener la versión 4.1.4.2827. Si es menor, entonces desea activar Windows Update para descargar e instalar la versión correcta.

Haga clic en el ícono de Windows en la parte inferior izquierda de su pantalla y seleccione el ícono de Configuración; parece un engranaje de bicicleta. Haga clic en Actualizaciones y seguridad, luego Windows Update si es necesario, luego haga clic en el botón grande Buscar actualizaciones. Windows se encargará del resto.

MÁS: Las mejores computadoras portátiles HP

Si tiene una versión anterior de Windows, haga clic en el icono de Windows en la parte inferior izquierda de la pantalla, abra el menú Inicio y seleccione Panel de control. También puede escribir Panel de control en el campo de búsqueda. Busque y seleccione Programas y / o Programas y características. Es posible que también deba seleccionar Desinstalar un programa. Busque HP Touchpoint Analytics Client y vea qué número de versión aparece junto a él.

Nuevamente, desea tener la versión 4.1.4.2827. Si es menor, tendrás que actualizarlo. Desafortunadamente, Windows Update no hará esto por usted en versiones anteriores a Windows 10, por lo que debe usar otra herramienta.

Regrese a la parte inferior izquierda de su pantalla y escriba Herramientas administrativas. En la ventana Herramientas administrativas, haga doble clic en Programador de tareas. Haga clic con el botón derecho en TechPulse Updater y seleccione Ejecutar.

Yendo por el CAMINO equivocado

El problema aquí surge porque Touchpoint Analytics / HP Device Health Service utiliza un software de código abierto llamado Open Hardware Monitor para acceder a componentes de bajo nivel de una PC, como la memoria física y las particiones de disco ocultas. (Puede descargar e instalar Open Hardware Monitor usted mismo aquí).

Open Hardware Monitor no especifica la ubicación de ciertos repositorios de código llamados bibliotecas de vínculos dinámicos o DLL, y no verifica el contenido de las DLL en sí. Esto tiene sentido para una utilidad de Windows de aplicación universal, pero cuando esa utilidad se reutiliza como un programa de diagnóstico con privilegios profundos del sistema, pueden suceder cosas malas.

Cuando se inicia Touchpoint Analytics, busca archivos DLL pertenecientes a muchos tipos posibles de hardware en una PC, incluidas tarjetas de video de terceros de AMD / ATI y Nvidia. Busca en varios directorios probables, o rutas de archivo, estas DLL.

Esas rutas de archivo se especifican mediante una "variable de entorno" de todo el sistema llamada PATH que le indica a Touchpoint Analytics (y muchas otras aplicaciones de Windows) dónde buscar DLL y otros archivos ejecutables.

Pero si una computadora no tiene una tarjeta de video de terceros, no se encontrarán ni cargarán las DLL adecuadas. Los investigadores de la empresa de seguridad SafeBreach descubrieron que podían crear versiones falsas de las DLL de AMD / ATI y Nvidia, modificar la variable de entorno PATH en todo el sistema para agregar nuevos directorios en los que colocarían las DLL falsas y hacer que Touchpoint Analytics eligiera y cargara la poco fiable. DLL.

Este tipo de cambio de DLL se conoce como inyección de DLL y hace que un programa haga cosas que no debería. Los jugadores de PC a veces usan la inyección de DLL para hacer trampa en los juegos, y los piratas informáticos malintencionados pueden usarla para hacer que un programa ejecute código malicioso. (La inyección de DLL funciona en sistemas Mac y Unix / Linux, así como en Windows).

Debido a que Touchpoint Analytics se ejecuta a nivel del sistema, puede hacer cualquier cosa en un sistema Windows, lo que significa que cualquier malware cargado en él a través de la inyección de DLL también puede hacerlo.

Entonces, ¿por qué nos preocupa? Porque…

El problema es que en una máquina HP Windows estándar que utiliza la variable PATH predeterminada, nada de esto es posible a menos que ya tenga privilegios administrativos. Pero, por supuesto, si ya tiene privilegios administrativos, puede instalar malware de todos modos. Quizás se esté preguntando cuál es el clamor.

Respondiendo a una pregunta de Laptop, Hadar dijo que el alcance de la vulnerabilidad "depende de la variable de entorno PATH del sistema operativo de la víctima".

En otras palabras, si una máquina tiene modificaciones existentes en la variable de entorno PATH, entonces Touchpoint Analytics, o las implementaciones de Open Hardware Monitor en otros sistemas, podrían cargar archivos DLL maliciosos desde directorios que no pertenecen al sistema. Eso permitiría a un usuario con privilegios limitados, o malware instalado por la cuenta de un usuario limitado, inyectar una DLL maliciosa a nivel del sistema.

"Hemos visto algunos casos en los que esta vulnerabilidad fue explotada por un usuario que no era administrador, porque una carpeta en particular en la RUTA no podía escribirla un no administrador", nos dijo Hadar.

Hadar y SafeBreach encontraron una falla muy similar a principios de este año en las máquinas Dell que también fue causada por un servicio de diagnóstico que usaba software de terceros.

Crédito de la imagen: ReviewsExpert.net