{"id":190140,"date":"2017-05-11T14:50:13","date_gmt":"2017-05-11T12:50:13","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=190140"},"modified":"2023-05-02T12:50:00","modified_gmt":"2023-05-02T10:50:00","slug":"stop-keylogger-in-conexants-audiotreiber-auf-hp-notebooks","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/05\/11\/stop-keylogger-in-conexants-audiotreiber-auf-hp-notebooks\/","title":{"rendered":"Stopp: Keylogger in Conexants Audiotreiber auf HP-Notebooks"},"content":{"rendered":"

Unsch\u00f6ne Entdeckung, die Thorsten Schr\u00f6der von der Schweizer modzero AG<\/a> in Conexant-Audiotreibern diverser HP-Notebooks gefunden hat. Die protokollieren alle Tastenanschl\u00e4ge und schreiben diese in eine Klartextdatei. Nachtrag:<\/strong> HP bietet wohl einen Fix per Update an.<\/p>\n

<\/p>\n

\"\"Ein Keylogger ist eine Software, die alle Tastatureingaben mit protokolliert \u2013 Kennworteingaben lassen sich also mit protokollieren. Dass ein solcher Keylogger in einem Audiotreiber steckt, ist mir aber noch nicht untergekommen.<\/p>\n

B\u00f6se \u00dcberraschung bei Untersuchung eines Ger\u00e4ts<\/h3>\n

Sicherheitsspezialist Thorsten Schr\u00f6der<\/a> hat bei der Untersuchung von HP-Notebooks einen Audiotreiber mit Keylogger in einem HP-Paket gefunden. Entwickler des Treibers ist der Audio-Chip Hersteller Conexant, der den Treiber auch digital signiert hat. Schr\u00f6der dokumentiert das Ganze in diesem modzero.ch-Beitrag<\/a>. Schr\u00f6der schreibt im Blog der Firma:<\/p>\n

Sicherheitsanalysen von modernen Windows-Domain-Infrastrukturen sind \u2013 aus unserer Sicht \u2013 zuweilen recht ern\u00fcchternd. Daher schauen wir oft auch nach links und rechts, wenn wir beispielsweise die H\u00e4rtung der Schutzmechanismen eines Clients begutachten. Hierbei finden wir oft allerlei Gef\u00e4hrliches und schlecht Durchdachtes. Einen dieser beil\u00e4ufig gefundenen F\u00e4lle wollen wir jetzt aufzeigen, denn der hat es in sich: Wir haben einen Keylogger in einem Audio-Treiber-Paket von HP gefunden.<\/p><\/blockquote>\n

Anschlie\u00dfend fragt er zu Recht: Was hat also ein Keylogger in einem Audio-Treiber verloren? <\/em>Schr\u00f6der schreibt von unklaren Verantwortlichkeiten, da der Audio-Chip Hersteller Conexant Treiber, den HP auf seine Systeme packt, digital signiert habe. HP bietet aber das Treiberpaket f\u00fcr die eigenen Ger\u00e4te auf der Firmenwebseite zum Download an.\u00a0Die Liste der betroffenen Ger\u00e4te ist in diesem Security Advisory<\/a> nachschlagbar.<\/p>\n

Sinn der Tastatur\u00fcberwachung<\/h3>\n

Dass ein Audiotreiber ggf. auf die Tastatur reagiert, ist ja noch erkl\u00e4rbar. Man kann durch Tastenkombinationen beispielsweise ein Mikrofon ein- oder ausschalten \u2013 der Audiotreiber fragt dann diese Tasten ab.<\/p>\n

Versuchung: Keylogger nachger\u00fcstet<\/h3>\n

Aber Schr\u00f6der hat etwas gegraben und Unsch\u00f6nes herausgefunden. Die Treiberentwickler haben die Tastatur\u00fcberwachung f\u00fcr Diagnose- und Debugging-Funktionen um eine veritablen Keylogger erweitert. Dieser protokolliert in der Version 1.0.0.46 alle Tastatur-Anschl\u00e4ge in die \u00f6ffentliche, f\u00fcr jeden Benutzer lesbare Datei:<\/p>\n

C:\\Users\\Public\\MicTray.log<\/em><\/p>\n

Laut einer Metadaten-Analyse stecken diese Funktionen seit mindestens Dezember 2015 im Treiber. Der Treiber hat folgende Dateinamen:<\/p>\n

C:\\Windows\\System32\\MicTray64.exe <\/em><\/p>\n

oder<\/p>\n

C:\\Windows\\System32\\MicTray.exe<\/em><\/p>\n

je nach Windows-Version. Man kann also leicht erkennen, ob man diesen Treiber f\u00fcr die Mikrofon-Steuerung installiert hat.<\/p>\n

Welche Windows-Versionen sind betroffen?<\/h3>\n

Hier die Versionen, f\u00fcr die der Treiber verf\u00fcgbar ist:
\nMicrosoft Windows 10 32-Bit
\nMicrosoft Windows 10 64-Bit
\nMicrosoft Windows 10 IOT Enterprise 32-Bit (x86)
\nMicrosoft Windows 10 IOT Enterprise 64-Bit (x86)
\nMicrosoft Windows 7 Enterprise 32 Edition
\nMicrosoft Windows 7 Enterprise 64 Edition
\nMicrosoft Windows 7 Home Basic 32 Edition
\nMicrosoft Windows 7 Home Basic 64 Edition
\nMicrosoft Windows 7 Home Premium 32 Edition
\nMicrosoft Windows 7 Home Premium 64 Edition
\nMicrosoft Windows 7 Professional 32 Edition
\nMicrosoft Windows 7 Professional 64 Edition
\nMicrosoft Windows 7 Starter 32 Edition
\nMicrosoft Windows 7 Ultimate 32 Edition
\nMicrosoft Windows 7 Ultimate 64 Edition
\nMicrosoft Windows Embedded Standard 7 32
\nMicrosoft Windows Embedded Standard 7E 32-Bit<\/code><\/p>\n

Keine Spionage erkennbar \u2013 aber keiner will es gewesen sein<\/h3>\n

Schr\u00f6der schreibt, dass es wohl keine Belege gibt, dass die Funktion f\u00fcr Spionagezwecke eingebaut wurde. Angreifer br\u00e4uchten Zugriff auf den Rechner bzw. die Datei. Aber das Ganze ist lausig implementiert \u2013 und vor allem will weder HP noch Conexant verantwortlich sein. Schr\u00f6der hat daher ein Security-Advisory<\/a> mit seinen Feststellungen ver\u00f6ffentlicht.<\/p>\n

Zwischenzeitlich geht die Geschichte im Internet herum. Ich habe es bei 4chan.org im Board gefunden, aber auch heise.de hat hier einen Artikel<\/a> ver\u00f6ffentlicht. Spannende Frage: Kann das einer von den HP-Notebook-Besitzern bei sich verifizieren?<\/p>\n

Nachtrag: HP bietet ein Update mit einem Fix an<\/h3>\n

Gem\u00e4\u00df diesem Axios-Beitrag<\/a> bietet HP f\u00fcr die 2016er Modelle seit der Nacht (11.\/12.5.2017) ein Treiber-Update \u00fcber Windows Update an, welches das Logging deaktivieren sollte. Ein Fix f\u00fcr die 2015er Modelle soll wohl heute (12.5.2017) oder in den kommenden Tagen freigegeben werden. Erg\u00e4nzung 2: Das Update schaltet den Keylogger nur ab, dieser l\u00e4sst sich per Registrierungseintrag jederzeit erneut aktivieren (siehe\u00a0Das HP-Audiotreiber Keylogger Placebo-Update<\/a>).<\/p>\n","protected":false},"excerpt":{"rendered":"

Unsch\u00f6ne Entdeckung, die Thorsten Schr\u00f6der von der Schweizer modzero AG in Conexant-Audiotreibern diverser HP-Notebooks gefunden hat. Die protokollieren alle Tastenanschl\u00e4ge und schreiben diese in eine Klartextdatei. Nachtrag: HP bietet wohl einen Fix per Update an.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[6162,6161,6163],"class_list":["post-190140","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-audiotreiber","tag-hp-notebook","tag-keylogger"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/190140","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=190140"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/190140\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=190140"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=190140"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=190140"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}