Unschöne Entdeckung, die Thorsten Schröder von der Schweizer modzero AG in Conexant-Audiotreibern diverser HP-Notebooks gefunden hat. Die protokollieren alle Tastenanschläge und schreiben diese in eine Klartextdatei. Nachtrag: HP bietet wohl einen Fix per Update an.
Anzeige
Ein Keylogger ist eine Software, die alle Tastatureingaben mit protokolliert – Kennworteingaben lassen sich also mit protokollieren. Dass ein solcher Keylogger in einem Audiotreiber steckt, ist mir aber noch nicht untergekommen.
Böse Überraschung bei Untersuchung eines Geräts
Sicherheitsspezialist Thorsten Schröder hat bei der Untersuchung von HP-Notebooks einen Audiotreiber mit Keylogger in einem HP-Paket gefunden. Entwickler des Treibers ist der Audio-Chip Hersteller Conexant, der den Treiber auch digital signiert hat. Schröder dokumentiert das Ganze in diesem modzero.ch-Beitrag. Schröder schreibt im Blog der Firma:
Sicherheitsanalysen von modernen Windows-Domain-Infrastrukturen sind – aus unserer Sicht – zuweilen recht ernüchternd. Daher schauen wir oft auch nach links und rechts, wenn wir beispielsweise die Härtung der Schutzmechanismen eines Clients begutachten. Hierbei finden wir oft allerlei Gefährliches und schlecht Durchdachtes. Einen dieser beiläufig gefundenen Fälle wollen wir jetzt aufzeigen, denn der hat es in sich: Wir haben einen Keylogger in einem Audio-Treiber-Paket von HP gefunden.
Anschließend fragt er zu Recht: Was hat also ein Keylogger in einem Audio-Treiber verloren? Schröder schreibt von unklaren Verantwortlichkeiten, da der Audio-Chip Hersteller Conexant Treiber, den HP auf seine Systeme packt, digital signiert habe. HP bietet aber das Treiberpaket für die eigenen Geräte auf der Firmenwebseite zum Download an. Die Liste der betroffenen Geräte ist in diesem Security Advisory nachschlagbar.
Sinn der Tastaturüberwachung
Dass ein Audiotreiber ggf. auf die Tastatur reagiert, ist ja noch erklärbar. Man kann durch Tastenkombinationen beispielsweise ein Mikrofon ein- oder ausschalten – der Audiotreiber fragt dann diese Tasten ab.
Anzeige
Versuchung: Keylogger nachgerüstet
Aber Schröder hat etwas gegraben und Unschönes herausgefunden. Die Treiberentwickler haben die Tastaturüberwachung für Diagnose- und Debugging-Funktionen um eine veritablen Keylogger erweitert. Dieser protokolliert in der Version 1.0.0.46 alle Tastatur-Anschläge in die öffentliche, für jeden Benutzer lesbare Datei:
C:\Users\Public\MicTray.log
Laut einer Metadaten-Analyse stecken diese Funktionen seit mindestens Dezember 2015 im Treiber. Der Treiber hat folgende Dateinamen:
C:\Windows\System32\MicTray64.exe
oder
C:\Windows\System32\MicTray.exe
je nach Windows-Version. Man kann also leicht erkennen, ob man diesen Treiber für die Mikrofon-Steuerung installiert hat.
Welche Windows-Versionen sind betroffen?
Hier die Versionen, für die der Treiber verfügbar ist:
Microsoft Windows 10 32-Bit
Microsoft Windows 10 64-Bit
Microsoft Windows 10 IOT Enterprise 32-Bit (x86)
Microsoft Windows 10 IOT Enterprise 64-Bit (x86)
Microsoft Windows 7 Enterprise 32 Edition
Microsoft Windows 7 Enterprise 64 Edition
Microsoft Windows 7 Home Basic 32 Edition
Microsoft Windows 7 Home Basic 64 Edition
Microsoft Windows 7 Home Premium 32 Edition
Microsoft Windows 7 Home Premium 64 Edition
Microsoft Windows 7 Professional 32 Edition
Microsoft Windows 7 Professional 64 Edition
Microsoft Windows 7 Starter 32 Edition
Microsoft Windows 7 Ultimate 32 Edition
Microsoft Windows 7 Ultimate 64 Edition
Microsoft Windows Embedded Standard 7 32
Microsoft Windows Embedded Standard 7E 32-Bit
Keine Spionage erkennbar – aber keiner will es gewesen sein
Schröder schreibt, dass es wohl keine Belege gibt, dass die Funktion für Spionagezwecke eingebaut wurde. Angreifer bräuchten Zugriff auf den Rechner bzw. die Datei. Aber das Ganze ist lausig implementiert – und vor allem will weder HP noch Conexant verantwortlich sein. Schröder hat daher ein Security-Advisory mit seinen Feststellungen veröffentlicht.
Zwischenzeitlich geht die Geschichte im Internet herum. Ich habe es bei 4chan.org im Board gefunden, aber auch heise.de hat hier einen Artikel veröffentlicht. Spannende Frage: Kann das einer von den HP-Notebook-Besitzern bei sich verifizieren?
Nachtrag: HP bietet ein Update mit einem Fix an
Gemäß diesem Axios-Beitrag bietet HP für die 2016er Modelle seit der Nacht (11./12.5.2017) ein Treiber-Update über Windows Update an, welches das Logging deaktivieren sollte. Ein Fix für die 2015er Modelle soll wohl heute (12.5.2017) oder in den kommenden Tagen freigegeben werden. Ergänzung 2: Das Update schaltet den Keylogger nur ab, dieser lässt sich per Registrierungseintrag jederzeit erneut aktivieren (siehe Das HP-Audiotreiber Keylogger Placebo-Update).
Anzeige
Also, das ist fies, da man Treiber auch installiert, wenn man Windows aus Sicherheitsgründen komplett neu aufsetzt, weil man einer Vorinstallation nicht traut.
So wird man doch noch angeschmiert; sozusagen hinterrücks erdolcht.
Die HP ProBook 450 G2 und ProBook 450 G3 sind alle von diesem Problem betroffen. Die G4 nicht mehr (Wechsel von Connexant auf RealtekAudio).
Wir haben 30 HP ProBook 450. Davon sind 4 ProBook 450 G2 (gekauft vor ca. 2 Jahren) und 12 ProBook 450 G3 (gekauft vor nicht ganz einem Jahr) und 14 ProBook 450 G4 (gekauft vor 5 Monaten). Alle Geräte wurden direkt nach der Lieferung 'platt gemacht'. Auf den 4 alten Geräten (G2) ist Windows 7 Professional x64, auf den 12 G3 Geräten ist Windows 7 Enterprise x64 installiert. Auf den G4 läuft Windows 10 Enterprise x64.
G2 und G3 sind also von diesem Problem betroffen. Da die Geräte alle Offline sind und lediglich stark eingeschränkte Benutzerrechte vorhanden sind (auf Gastniveau) muss ich heute zum Glück keine Überstunden schieben :)
Als Lösung könnte man der log Datei die Benutzerrechte entziehen. Dann kann der Debugger keine Daten in besagte Datei schreiben. Werde ich morgen früh mal testen…
Scheint wohl nicht zu reichen, dass man der Datei die Rechte entzieht. Man muss zusätzlich den im obigen Artikel genannten Dienst deaktivieren bzw. das Laden dessen unter Windows verhindern.
Das ist wirklich merkwürdig. Ich habe mir nun all unsere Geräte angesehen. Ich dachte, all unsere G2 und G3 wären betroffen. Wie es scheint, sind manche Geräte der gleichen Modellreihe mit unterschiedlichen Audiochips ausgestattet. Die meisten unserer G2 Geräte haben IDT Audio verbaut. Bei den G3 haben die meisten Realtek Audio verbaut. Unsere G4 haben zwar alle Conexant Audio verbaut, aber die Treiberversion (wobei ich mich darauf lieber nicht verlasse) stimmt nicht mit den genannten überein. Bei diesen ist die log Datei leer und der Debugger schreibt nichts mit.
Ich habe einen Toshiba Satellite mit Conexant Audiotreiber, kann aber besagte Datei nicht finden.
Gibt es einen Weg, zu prüfen, ob dieser Keylogger bei mir drauf ist?
1. Ist eine der folgenden Programme in besagtem Verzeichnis vorhanden? Falls ja, hat man ein Notebook mit einem Conexant Chip.
C:\Windows\System32\MicTray.exe
C:\Windows\System32\MicTray64.exe
2. Falls MicTray.exe bzw. MicTray64.exe vorhanden ist, prüfen ob dieser Dienst im Taskmanager vorhanden ist. Falls ja, beenden.
3. Existiert die Logdatei MicTray.log unter: C:\Users\Public\MicTray.log und sind darin Einträge gespeichert? Falls ja, ist man wahrscheinlich betroffen.
4. Auch wenn die Logdatei MicTray.log leer oder nicht vorhanden sein sollte, sollte man über den DebugViewer überprüfen, ob Tastatureingaben angezeigt werden. Falls ja, bedeutet dies, dass der installierte Treiber dies anfordert -> man ist betroffen.
5. Die Logdatei C:\Users\Public\MicTray.log löschen und C:\Windows\System32\MicTray.exe bzw. C:\Windows\System32\MicTray64.exe umbenennen in beispielsweise MicTray.exe.old bzw. MicTray64.exe.old
Also auch wenn die Logdatei leer oder nicht vorhanden ist, kann es sein, dass der diese Debugfunktion aktiviert hat. Dies lässt sich dann mit Sicherheit anhand des DebugViewers prüfen.
Der Heise Link führt aber zum 4chan Forum. ^^
Danke, ich habe zwei Links korrigiert. Wird am Freitag etwas ausgedünnte Blog-Aktivitäten geben – hab mir irgend eine Erkältung eingefangen und lege mich gleich erst einmal hin.
Zudem scheint es bei 1&1/Telekom ein DNS-Server-Problem zu geben, weil ich viele Webseiten kaum oder nur mit irrer Verzögerung aufrufen kann.
Gute Besserung!
Thx
Keylogger ist die Härte. Für mein Gefühl geht so eine Software über in den strafrechtlich relevanten Bereich. Das geht gar nicht. Selbst wenn (angeblich) nicht spioniert wurde. Nicht umsonst genießt die Unverletzlichkeit der Wohnung in Deutschland Verfassungsrang (Art. 13 GG). Und der eigene Computer zählt ohne Frage zu diesem besonders schützenswerten Intimbereich des privaten Lebens.
Um das Problem zu lösen habe ich da was auf die Schnelle gebastelt. Mag sein, dass es nicht ganz sauber aussieht aber es funktioniert. https://paste.ee/p/gcjmZ.
Damit wird der Task beendet, die entsprechende Datei umbenannt, dem Treiber bzw. der Software per ungültigem Registrywert mitgeteilt in eine ungültige Datei zu schreiben und anschließend die vorhande Logdatei gelöscht.
Das ist eine stümperhafte Debugfunktion, die ein Entwickler vergessen hat, zu deaktivieren bzw. komplett zu entfernen.
Möglicherweise handelt es sich auch um eine Beta-Version, die versehentlich veröffentlicht wurde.
Stümperhaft ist die Funktion deshalb, weil man natürlich nicht Logdateien im Öffentlichen Ordner (Public) anlegt. Aber Entwickler sind auch nur Menschen und manch einer ist eben bequem. So wäre der Zugriff aus der Ferne möglich.
Entwicklungsrichtlinien in der Treiberentwicklung sind absolut notwendig, um solch einem Fall vorzubeugen. Da aber die Hardwarehersteller gerne die Treiberentwicklung outsourcen, weil dies billiger ist, vermute ich, dass hier weder Richtlinien noch Kompetenz am Werk waren.
Das ist ein sehr guter Artikel, lieber Günter!
Damit kann man was anfangen und schauen, ob man betroffen ist. Ich habe in der letzten Zeit manchmal Kritik an der Veröffentlichung von spontan erkannten Sicherheitslücken von Sicherheitsforschern geübt. Hier passt aber alles. Kritik ist nach wie vor an den Beiträgen auf heise.de zu üben. Die Leute gegeben sich überhaupt keine Mühe und hauen einfach was kurz raus und sagen nur, dass HP es eingesteht. Heise. de will scheinbar nicht richtige Beiträge Schreiben.
Thorsten Schröder von der Schweizer modzero AG hat hier alles auch sauber öffentlich gemacht und ich darf auf die eingestellten Links verweisen, insbesondere jenen als txt-Datei (Security-Advisority, siehe oben im letzten Teil des Beitrages). Es betrifft nur Conexant-Audiotreibern in bestimmten HP-Notebooks. Diese Contexant-Audiotreiber sind nicht in allen HP-Notebooks verbaut. Die Liste ist in den Link.
HP hat auch schon reagiert und schon gepachte Contexant-Audiotreiber am 11./12.05.2017 bereitgestellt.
Über die HP-Supportseite: https://support.hp.com/de-de gibt man dann die genaue Typbezeichnung ein. Ich habe das getestet an dem Modell „HP EliteBook 820 G3 Notebook PC" Unter der Rubrik Software/Treiber ist dann auch der neue Audiotreiber zu finden. An der Versionsnummer kann man auch das erkennen. Von einer Einstellung dieses Links sehe ich ab.
Danke lieber Günter! Die Leute von heise.de können von Dir noch viel lernen wie man keine Panik verbreitet und sauber als Fachjournalist recherchiert. Dazu hat Thorsten Schröder von der Fa. Modzero AG auch meines Erachtens sehr gut das Problem auf ihrer Internetseite öffentlich gemacht.