Die Business-Notebooks von HP haben gemeinhin einen guten Ruf. Doch Sicherheitsforscher stießen nun bei einer Überprüfung von mehreren HP-Modellen auf ein merkwürdiges Verhalten eines ab Werk installierten Treibers. Neben seiner eigentlichen Aufgabe schreibt er alle Tastatureingaben in eine unverschlüsselte Log-Datei. Angreifer, die bereits Zugang zum System haben, können aus dieser Datei Passwörter und andere Geheimnisse ganz bequem herauslesen.


Der betroffene Audio-Treiber stammt vom Hersteller Conexant, berichtet "Heise". MicTray64.exe ist demnach ab Werk auf den HP-Modellen der Reihen EliteBook, ProBook, Elite x2 und ZBook installiert. Er klinkt sich in die Windows-Tastatureingabefunktionen ein, um beim Druck auf Spezialtasten entsprechend reagieren zu können - zum Beispiel, um die Lautstärke zu ändern. Doch die Sicherheitsforscher der Schweizer Firma modzero haben herausgefunden, dass der Treiber im Hintergrund noch mit anderen Dingen beschäftigt ist und alle Tastencodes in eine öffentlich lesbare Datei schreibt. Ältere Treiberversionen schreiben die Tastencodes in eine Debug-Meldung.

Ist der Keylogger ein Versehen?

Dieses Verhalten kennt man von sogenannten Keyloggern, die im Verborgenen die Tastatureingaben mitlesen, um zum Beispiel Passwörter zu erschnüffeln. Das Problem: Normalerweise müssten Angreifer auf dem PC ihres Opfers selbst einen Keylogger einschleusen, der möglicherweise Alarm auslösen könnte. Mit diesem bordeigenen Keylogger können sich die Bösewichte das aber sparen, schreibt Heise. Wenn sie bereits Zugriff aufs System haben, können sie demnach ganz bequem die Log-Datei auslesen und machen sich dabei selbst nicht verdächtig.

Die Log-Datei wird nur dann überschrieben, wenn sich ein Nutzer neu anmeldet, zum Beispiel nach einem Neustart. Solange der Rechner nicht richtig ausgeschaltet wird, werden alle Tastatureingaben in derselben Datei gespeichert - eine Fundgrube für Angreifer.

Offenbar existiert diese Sicherheitslücke schon länger. Sicherheitsexperte Thorsten Schröder von modzero habe das Keylogging in Treibern entdeckt, die 2015 erstellt wurden. Es handele sich dabei vermutlich um eine Diagnose- oder Debug-Funktion des Herstellers, die vergessen wurde und nicht um eine bösartig eingebaute Hintertür, schreiben die Forscher. Mit Conexant und HP habe Schröder Kontakt aufgenommen, bisher aber keine Antwort erhalten. Deshalb veröffentlicht er nun selbstständig Sicherheitshinweise dazu.

Ob Nutzer betroffen sind, können sie herausfinden, indem sie nach der Log-Datei C:UsersPublicMicTray.log suchen oder das Tool DebugView der SysInternals-Suite nutzen. Zum Selbstschutz kann man außerdem die Logdatei sowie die Treiberdatei MicTray64.exe (C:WindowsSystem32MicTray64.exe oder C:WindowsSystem32MicTray.exe) entfernen oder umbenennen - allerdings funktionieren dann manche Spezialtasten, sogenannte Hotkeys, nicht mehr.

Quelle: n-tv.de , jwa

Tags: