HP OMEN-kwetsbaarheid treft miljoenen gaming-apparaten

Samenvatting

SentinelLabs heeft een ernstige fout ontdekt in HP OMEN driver software die miljoenen apparaten wereldwijd treft.
Aanvallers kunnen de kwetsbaarheden misbruiken om lokaal te escaleren naar privileges in de kernelmodus. Met deze toegang kunnen aanvallers beveiligingsoplossingen uitschakelen, systeemcomponenten overschrijven, het besturingssysteem beschadigen of ongehinderd kwaadaardige handelingen uitvoeren.

De bevindingen van SentinelLabs zijn proactief gerapporteerd aan HP op 17 februari 2021 en de kwetsbaarheid (CVE-2021-3437) is gemarkeerd met CVSS-score 8.8.
HP heeft een beveiligingsupdate uitgebracht om de kwetsbaarheden aan te pakken.

Op dit moment heeft SentinelOne geen bewijs gevonden van misbruik in de praktijk.
OMEN Command Center is een softwareproduct dat is voorgeïnstalleerd op alle HP OMEN-desktops en -laptops en kan worden gedownload in de Microsoft Store op elke Windows 10-computer die randapparatuur gebruikt van het OMEN-merk. De software kan worden gebruikt om instellingen zoals de GPU van het apparaat, ventilatorsnelheden, CPU-overklokken, geheugen en meer te beheren en te optimaliseren. Dezelfde software wordt gebruikt voor het instellen en aanpassen van verlichting en andere bedieningselementen op game-apparaten en accessoires, zoals muis en toetsenbord.

In navolging op het eerdere onderzoek naar andere HP-producten, ontdekte SentinelOne dat deze software kwetsbaarheden bevat die kwaadwillenden in staat kan stellen de bevoegdheden in de kernelmodus aan te passen, zonder beheerdersrechten.

CVE-2021-3437 is in wezen afgeleid van de OMEN Command Center-software met behulp van kwetsbare code die gedeeltelijk is gekopieerd van een open source-driver. SentinelOne komt met details waarin wordt uitgelegd hoe de kwetsbaarheid optreedt en hoe deze kan worden beperkt. Het stelt best practices voor aan ontwikkelaars die zouden helpen het aanvalsoppervlak te verkleinen dat wordt geboden door drivers met blootgestelde IOCTL’s-handlers voor gebruikers met weinig bevoegdheden.

Over SentinelOne

SentinelOne levert autonome endpoint-bescherming middels een enkelvoudige agent die preventie, detectie, respons en opsporingsfunctionaliteit combineert. Het SentinelOne platform is ontwikkeld met het oog op zeer hoog gebruiksgemak en bespaart gebruikers tijd dankzij de inzet van AI om automatisch en in realtime dreigingen binnen het bedrijf en in de cloud te elimineren. Daarnaast is het de enige oplossing die volledig inzicht biedt van edge tot cloud over het hele netwerk. Kijk voor meer informatie op www.sentinelone.com en op @SentinelOne, LinkedIn en Facebook.