HP OMEN-kwetsbaarheid treft miljoenen gaming-apparaten

Samenvatting

  • SentinelLabs heeft een ernstige fout ontdekt in HP OMEN driver software die miljoenen apparaten wereldwijd treft.
  • Aanvallers kunnen de kwetsbaarheden misbruiken om lokaal te escaleren naar privileges in de kernelmodus. Met deze toegang kunnen aanvallers beveiligingsoplossingen uitschakelen, systeemcomponenten overschrijven, het besturingssysteem beschadigen of ongehinderd kwaadaardige handelingen uitvoeren.
  • De bevindingen van SentinelLabs zijn proactief gerapporteerd aan HP op 17 februari 2021 en de kwetsbaarheid (CVE-2021-3437) is gemarkeerd met CVSS-score 8.8.
  • HP heeft een beveiligingsupdate uitgebracht om de kwetsbaarheden aan te pakken.
  • Op dit moment heeft SentinelOne geen bewijs gevonden van misbruik in de praktijk.

OMEN Command Center is een softwareproduct dat is voorgeïnstalleerd op alle HP OMEN-desktops en -laptops en kan worden gedownload in de Microsoft Store op elke Windows 10-computer die randapparatuur gebruikt van het OMEN-merk. De software kan worden gebruikt om instellingen zoals de GPU van het apparaat, ventilatorsnelheden, CPU-overklokken, geheugen en meer te beheren en te optimaliseren. Dezelfde software wordt gebruikt voor het instellen en aanpassen van verlichting en andere bedieningselementen op game-apparaten en accessoires, zoals muis en toetsenbord.

In navolging op het eerdere onderzoek naar andere HP-producten, ontdekte SentinelOne dat deze software kwetsbaarheden bevat die kwaadwillenden in staat kan stellen de bevoegdheden in de kernelmodus aan te passen, zonder beheerdersrechten.

CVE-2021-3437 is in wezen afgeleid van de OMEN Command Center-software met behulp van kwetsbare code die gedeeltelijk is gekopieerd van een open source-driver. SentinelOne komt met details waarin wordt uitgelegd hoe de kwetsbaarheid optreedt en hoe deze kan worden beperkt. Het stelt best practices voor aan ontwikkelaars die zouden helpen het aanvalsoppervlak te verkleinen dat wordt geboden door drivers met blootgestelde IOCTL’s-handlers voor gebruikers met weinig bevoegdheden.

In deze blogpost zijn de technische details te vinden.

Voor meer informatie

SentinelOne
Judith Veenhouwer
E-mail: judithv@sentinelone.com

Deepr
Nini Joostens / Marjan Schrader / Winnie Silvertand
E-mail: sentinelone@deepr.nl