HP Conexant Keylogger !!! Urgent!


Certains portables HP sont vulnérables à cause d’ un « bug » qui est maintenant connu et présente une faille de sécurité énorme :

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-8360

Explication grossiere: le pilote son CONEXANT, présent sur ces PCs, logue toutes les saisies clavier dans un fichier texte : MicTray.log

keyloggerhp

Ce fichier MicTray.log contient toutes les touches que les utilisateurs de la machine ont utilisé… Il suffit de transcrire le code de la touche pour le lire en allant chercher les correspondance ici :

https://msdn.microsoft.com/fr-fr/library/windows/desktop/dd375731(v=vs.85).aspx

Exemple :

sample_conexant

clip_image005

Les PCs ciblés sont :

  • HP EliteBook 820 G3 Notebook PC
  • HP EliteBook 828 G3 Notebook PC
  • HP EliteBook 840 G3 Notebook PC
  • HP EliteBook 848 G3 Notebook PC
  • HP EliteBook 850 G3 Notebook PC
  • HP ProBook 640 G2 Notebook PC
  • HP ProBook 650 G2 Notebook PC
  • HP ProBook 645 G2 Notebook PC
  • HP ProBook 655 G2 Notebook PC
  • HP ProBook 450 G3 Notebook PC
  • HP ProBook 430 G3 Notebook PC
  • HP ProBook 440 G3 Notebook PC
  • HP ProBook 446 G3 Notebook PC
  • HP ProBook 470 G3 Notebook PC
  • HP ProBook 455 G3 Notebook PC
  • HP EliteBook 725 G3 Notebook PC
  • HP EliteBook 745 G3 Notebook PC
  • HP EliteBook 755 G3 Notebook PC
  • HP EliteBook 1030 G1 Notebook PC
  • HP ZBook 15u G3 Mobile Workstation
  • HP Elite x2 1012 G1 Tablet
  • HP Elite x2 1012 G1 with Travel Keyboard
  • HP Elite x2 1012 G1 Advanced Keyboard
  • HP EliteBook Folio 1040 G3 Notebook PC
  • HP ZBook 17 G3 Mobile Workstation
  • HP ZBook 15 G3 Mobile Workstation
  • HP ZBook Studio G3 Mobile Workstation
  • HP EliteBook Folio G1 Notebook PC

Autant dire que l’exploitation du bug est simple et présente un risque plus qu’élevé.

HP a mis a disposition un nouveau hotfix: SP80323.exe

Il faut mettre à jour de toute urgence vos machines si ces dernieres sont sur la liste!!!

Une autre solution est de supprimer l’executable et le log, et tout lancement automatique afin de se prémunir contre cette faille: pour cela suprimez MicTray.exe ou MicTray64.exe, MicTray.xml ou MicTray64.xml (Ils sont tous deux sous le répertoire System32) et le log qui est dans le repertoire Public! et redémarrez!

regardez ici: https://github.com/jolegape/RemoveConexantKeylogger/blob/master/Remove_Conexant_Keylogger.ps1 pour un script powershell faisant le ménage!

Bon patch à tous….

Sacré Weekend pour la sécurité!!!

PierrE

A propos Red Kaffe

IT Trainer and Consultant on Microsoft Technologies. Windows Server and Client, Service Center 2012, WSUS/MDT/ADK/WAIK, SBS 2008/2011, Office 365, etc. Fully dedicated to support and train my customers...
Cet article, publié dans Audit, Scripting, Security, est tagué , , , , , , . Ajoutez ce permalien à vos favoris.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s