I ricercatori di Cybersecurity hanno recentemente rivelato dettagli su un difetto di elevata gravità nel software del driver HP OMEN che ha un impatto su milioni di computer da gioco in tutto il mondo, lasciandoli aperti a una serie di attacchi.
Tracciate come CVE-2021-3437 (punteggio CVSS: 7.8), le vulnerabilità potrebbero consentire ai malintenzionati di aumentare i privilegi in modalità kernel senza richiedere autorizzazioni di amministratore, consentendo loro di disabilitare i prodotti di sicurezza, sovrascrivere i componenti di sistema e persino corrompere il sistema operativo.
La società di sicurezza informatica SentinelOne, che ha scoperto e segnalato la carenza ad HP il 17 febbraio, ha affermato di non aver trovato prove di sfruttamento. Da allora, la società di hardware per computer ha rilasciato un aggiornamento di sicurezza ai propri clienti per affrontare queste vulnerabilità.
I problemi stessi sono radicati in un componente chiamato OMEN Command Center che viene preinstallato su laptop e desktop con marchio HP OMEN e può anche essere scaricato da Microsoft Store. Il software, oltre a monitorare GPU, CPU e RAM tramite una dashboard, è progettato per ottimizzare il traffico di rete e overcloccare il PC da gioco per prestazioni più veloci.
“Il problema è che HP OMEN Command Center include un driver che, sebbene apparentemente sviluppato da HP, è in realtà una copia parziale di un altro driver pieno di vulnerabilità note”, hanno affermato i ricercatori di SentinelOne.
“Nelle giuste circostanze, un utente malintenzionato con accesso alla rete di un’organizzazione può anche ottenere l’accesso per eseguire codice su sistemi privi di patch e utilizzare queste vulnerabilità per ottenere l’elevazione locale dei privilegi. Gli aggressori possono quindi sfruttare altre tecniche per spostarsi sulla rete.”
Il driver in questione è HpPortIox64.sys, che deriva le sue funzionalità da WinRing0.sys sviluppato da OpenLibSys , un driver problematico emerso come fonte di un bug di escalation dei privilegi locale nel software EVGA Precision X1 ( CVE-2020-14979 , punteggio CVSS: 7.8) l’anno scorso.
Il problema principale deriva dal fatto che il driver accetta le chiamate di controllo input/output ( IOCTL ) senza applicare alcun tipo di imposizione ACL , consentendo così ai malintenzionati un accesso illimitato alle funzionalità di cui sopra, incluse le capacità di sovrascrivere un binario caricato da un processo privilegiato e infine eseguire il codice con privilegi elevati.
La scoperta è anche la terza di una serie di vulnerabilità di sicurezza che interessano i driver software che sono state scoperte da SentinelOne dall’inizio dell’anno.