Vulnerabilidad de HP Touchpoint Analytics LPE afecta a la mayoría de las PC HP

HP parchó una vulnerabilidad descubierta en el software HP Touchpoint Analytics instalado de manera predeterminada en la mayoría de las computadoras HP que ejecutan Windows, una falla que permite a los atacantes escalar privilegios y ejecutar código arbitrario usando los privilegios del SISTEMA.

HP TouchPoint Analytics es un software que viene preinstalado en la mayoría de las computadoras HP en forma de un servicio de Windows que se ejecuta con permisos de nivel superior 'AUTORIDAD NT \ SISTEMA' y diseñado para recopilar información de diagnóstico de rendimiento de hardware de forma anónima.

La vulnerabilidad de escalada de privilegios locales (LPE) rastreada como  CVE-2019-6333  se encontró en la biblioteca Open Hardware Monitor utilizada por el software de monitoreo de HP.

CVE-2019-6333 permite a los atacantes potenciales ejecutar cargas maliciosas utilizando privilegios de nivel de sistema y evadir la detección antimalware al omitir la lista blanca de aplicaciones, un método comúnmente utilizado para evitar la ejecución de aplicaciones desconocidas o potencialmente maliciosas.

Este tipo de falla de seguridad se explota comúnmente durante la etapa posterior de ataques maliciosos después de que las máquinas objetivo ya se han infiltrado, lo que permite elevar los permisos para ganar persistencia y comprometer aún más el sistema ahora comprometido.

"HP TouchPoint Analytics se envía como un componente de monitoreo predeterminado de la mayoría de las laptops y computadoras de escritorio HP Windows", dice SafeBreach. "HP parcheó la vulnerabilidad, pero los investigadores de SafeBreach creen que cualquier máquina que use la Open Hardware Library estaba en riesgo".

Carga arbitraria de DLL sin firmar

La vulnerabilidad descubierta por el investigador de seguridad de SafeBreach Labs, Peleg Hadar, e informada a HP el 4 de julio, afecta todas las versiones de HP Touchpoint Analytics Client a continuación 4.1.4.2827.

Hadar dice que el problema de seguridad es causado por la falta de carga segura de DLL causada por el uso de una ruta de búsqueda no controlada y por no validar si las DLL que carga están firmadas con certificados digitales.

El investigador descubrió que el servicio HP Touchpoint Analytics, que viene con un acceso de alto nivel de permisos al hardware de la computadora, carga una firma biblioteca de terceros de Open Hardware Monitor y tres DLL faltantes llamadas atiadlxx.dll, atiadlxy.dll y Nvapi64. dll desde carpetas dentro de la variable de entorno PATH de Windows.

Esta biblioteca de código abierto se puede usar para monitorear sensores de temperatura, velocidades de ventiladores, voltajes, velocidades de carga y de reloj de una computadora, y "decenas de millones de computadoras usan Open Hardware Monitor como parte de los sistemas de monitoreo, incluido HP Touchpoint Analytics". dice SafeBreach .

Luego, Hadar observó que el servicio probó el  directorio C: / python27 , una carpeta que viene con una lista de control de acceso (ACL) que proporciona a cualquier usuario autenticado permisos de escritura y logra la ejecución del código como NT AUTHORITY \ SYSTEM.



Esto permitió a Hadar escalar los privilegios de sus propios archivos DLL sin firmar después de cargarlos como usuario normal, con el resultado final de que pudo ejecutar el código desde un proceso firmado digitalmente por HP, un proveedor autorizado por Microsoft.

"Podría explotar una serie de ataques potenciales al explotar esta vulnerabilidad, lo que les da a los atacantes la capacidad de cargar y ejecutar cargas maliciosas utilizando un servicio firmado, incluyendo en la lista blanca esas aplicaciones", dice SafeBreach.

"Un atacante puede abusar de esta capacidad para 'Desvío de lista blanca de aplicaciones' y 'Desvío de validación de firma' para diferentes propósitos, como ejecución y evasión, por nombrar dos".

Se pueden encontrar más detalles técnicos sobre el proceso de descubrimiento detrás de la vulnerabilidad de escalada de privilegios CVE-2019-6333 y una línea de tiempo de divulgación dentro del análisis de Peleg Hadar .

Error de escalada de privilegios parcheado

HP parchó esta vulnerabilidad con el lanzamiento de HP Touchpoint Analytics Client versión 4.1.4.2827 el 4 de octubre, luego del informe de divulgación de vulnerabilidad enviado por Hadar el 4 de julio.

Se identificó una posible vulnerabilidad de seguridad con ciertas versiones de HP Touchpoint Analytics antes de la versión 4.1.4.2827. Esta vulnerabilidad puede permitir que un atacante local con privilegios administrativos ejecute código arbitrario a través de un servicio del sistema HP Touchpoint Analytics. - HP

HP publicó procedimientos para detectar si un dispositivo es vulnerable y acciones correctivas apropiadas como parte de este aviso de seguridad .

"Este tipo de vulnerabilidades son alarmantes porque indican la facilidad con la que los piratas informáticos malintencionados podrían lanzar ataques a la cadena de suministro dirigidos y violando elementos altamente confiables de nuestro ecosistema de software", también agregó SafeBreach CTO y cofundador Itzik Kotler.


Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta