Audio-Treiber in HP-Notebooks schreibt alle Eingaben mit [Update]

Der Sicherheitsforscher Thorsten Schröder von der Schweizer Firma Modzero hat auf eine unsichere Funktionsweise des Audio-Treibers in mehreren Business-Notebook-Reihen von HP hingewiesen. Dem ausführlicheren Security Advisory zufolge sind seit 2015 ausgelieferte Geräte der Modell-Reihen EliteBook, ProBook, Elite x2 und ZBook betroffen. Sie nutzen, ebenso wie zahlreiche Notebooks anderer Hersteller, etwa Lenovo, einen Audio-Treiber der Firma Conexant.

Das Unternehmen beliefert alle namhaften Hersteller mit Audio-Technologie und stattet zum Beispiel auch Amazon Alexa damit aus. Bei den Notebooks soll der Treiber die Eingaben der Funktionstasten für die Lautstärkeregelung aufzeichnen. Offenbar schreibt er aber – wie ein Keylogger – alle Tasteneingaben mit. Die werden in der Datei “C:\Users\Public\MicTray.log” abgelegt und lassen sich Schröder zufolge leicht auslesen. Für Angreifer, die Zugriff auf das System haben, wäre es also möglich, alle Tasteneingaben nachzuvollziehen.

Update, 12. Mai 2017, 9 Uhr 55: Am späten Abend hat HP-Vizepräsident Mike Nash gestern gegenüber ZDNet.com erklärt, dass über Windows Update und auf HP.com für die seit 2016 ausgelieferten Modelle ein Fix verfügbar ist. Die bereits 2015 mit dem Fehler ausgelieferten Rechner sollen den Patch im Laufe des Freitag erhalten. Nash räumte auch ein, dass “eine Handvoll” weiterer Modelle, auch aus dem Consumer-Portfolio, von dem Fehler betroffen ist. Er konnte aber zunächst keine Angaben zur Anzahl machen. In einer schriftlichen Stelungnahme teilte ein Firmensprecher zudem mit, dass HP durch den Fehler zu keiner Zeit Zugriff auf Kundendaten erhalten habe. Er bestätigte zudem die Vermutung, dass die Funktion versehentlich im Code des Treibers verblieben ist und nie auf Rechnern hätte vorhanden sein sollen, die an Kunden ausgeliefert wurden.

Allerdings überlebt die Datei den ordentlichen Abmeldevorgang nicht, sie wird bei der Neuanmeldung jeweils neu angelegt. Da Notebook-Nutzer den Rechner jedoch oft tagelang nur zuklappen und nicht komplett herunterfahren, könnten sich in der Log-Datei dennoch zahlreiche für Angreifer interessante Informationen finden, unter anderem auch eingegebene Passwörter.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Besitzer eines Business-Notebooks von HP Inc. oder auch Notebooks anderer Hersteller, die Treiber von Conexant verwenden, können mit dem Tool Debug View aus der Sysinternals Suite prüfen, ob die fehlerhafte Version des Treibers bei ihnen installiert ist. Es handelt sich dabei um den Conexant High-Definition (HD) Audio Driver in Version 10.0.931.89.

Der Entdecker hat als Überschrift für seine Erläuterungen zu dem sicherheitsrelevanten Fehler “Keylogger in Hewlett-Packard Audio-Treiber” gewählt. Allerdings vermutet Heise.de, dass es sich nicht um eine bewusste Funktion, sondern eine Debugging-Funktion der Entwickler handelt, von denen dann vergessen wurde, sie zu entfernen, was HP offenbar nicht bemerkt hat. Hinweise auf eine bösartige Hintertür habe er nicht gefunden, erklärte Bug-Entdecker Schröder gegenüber dem Portal.

Mehr zum Thema

Sicherheitsrisiken in öffentlichen WLANs vermeiden

Mit einigen Schritten und kostenlosen Tools können sich Anwender effizient vor Angriffen in unsicheren WLANs schützen und Notebook, Smartphone und Tablets absichern. Die Kollegen der silicon.de-Schwestersite ZDNet.de erklären in ihrem Beitrag, wie das funktioniert.

Als bösartig mag dagegen HP Inc. das Verhalten des Sicherheitsforschers betrachten. Üblicherweise räumen Entdecker von Sicherheitslücken den betroffenen Firmen einige Wochen ein, um sich mit dem Problem zu beschäftigen, eine Lösung auszuarbeiten und bereitzustellen. Dem Advisory zufolge wurde die Schwachstelle am 28. April entdeckt und ihr am 30. April die Kennung CVE-2017-8360 zugewiesen. Ein Versuch, Conexant per Twitter zu erreichen, brachte wohl kein Ergebnis.

Daraufhin wandte Schröder sich an Hewlett Packard Enterprise (HPE). Das hat mit Notebooks aber seit der Aufspaltung des Konzerns am 2. November 2015 nichts mehr zu tun. Immerhin hat HPE am 5. Mai versprochen, die ihm an dem Tag übermittelten technischen Informationen weiterzugeben. Die Lücke schon eine Woche später und ohne eine einzige eigene Nachfrage beim betroffenen Hersteller zu veröffentlichen, ist zumindest ungewöhnlich.

Googles Project Zero arbeitet zum Beispiel mit einer 90-Tage-Frist und räumt Herstellern, sofern ein Patch bereits in Vorbereitung ist, gegebenefalls noch eine Schonfrist von weiteren 14 Tagen ein. Strenger ist die Regelung bei Lücken, für die Exploits nachgewiesenermaßen bereits in Umlauf sind. Hier gelten seit 2013 bei Google 7 Tage, was Experten mit Einschränkungen durchaus für angemessen halten.

Tipp: Was wissen Sie eigentlich über Hewlett Packard? Überprüfen Sie Ihr Wissen – mit 16 Fragen auf silicon.de.

Peter Marwan

Peter Marwan ist Chefredakteur von silicon.de und immer auf der Suche nach Möglichkeiten, wie Firmen den rasanten Fortschritt in der IT-Branche in der Praxis nutzen können. Dabei geht es nicht nur darum, Vorhandenes zu optimieren, sondern vor allem auch um Ansätze und Strategien, mit denen sich neue, durch die IT unterstützte Geschäftsmodellle entwickeln lassen.

Recent Posts

Social Media für Unternehmen

Bitkom veröffentlicht neuen Social-Media-Leitfaden: Hilfreiche Tipps, wie Unternehmen soziale Medien erfolgreich für sich nutzen können.

2 Tagen ago

High-Tech im Stall, KI auf dem Acker

Bitkom und DLG stellen neue Studie zur Digitalisierung der Landwirtschaft vor. 8 von 10 Höfen…

2 Tagen ago

Software gemeinsam entwickeln

Open Source ist das Fundament einer „Sharing Economy“, sagt der Forschungsbeirats der Plattform Industrie 4.0.

2 Tagen ago

Vorsicht im Homeoffice: Sprachassistent hört mit

Sprachassistenten sind praktisch, bergen im Homeoffice aber Risiken bei Sicherheit und Datenschutz, warnt das Infocenter…

2 Tagen ago

Echte Security-KI für den OnPrem-Betrieb

Sie heißt LARA. Sie ist eine Security-KI, die sich auf die individuellen Anforderungen von Kunden…

2 Tagen ago

CISA warnt US-Bundesbehörden VMware-Produkte zu patchen oder offline zu nehmen

Im April haben Angreifer VMware-Patches in kürzester Zeit nachgebaut, um RCE-Angriffe zu starten.

3 Tagen ago