Notebook HP a rischio backdoor
Massimo Rabbi | 13 December 2007 | 13:37Già qualche mese fa avevo postato una news riguardo una pericolosa vulnerabilità che interessava il software “Help and Support Centre” installato di default in molti laptops HP e HP COMPAQ.
La nota casa produttrice torna alla ribalta per un altro problema che è stato riscontrato sempre nello stesso software preinstallato.
Un classico scenario d’attacco prevede che l’utente visiti un sito web “infetto” utilizzando Internet Explorer 6 o 7, per poi ritrovarsi con un computer zombie grazie ad uno dei tanti malware in circolazione.
Ma HP non è l’unica ad essere incappata in simili problemi, anche i portatili ACER ad inizio di quest’anno sono stati bersaglio di potenziali attacchi per via di un controllo ActiveX bacato.
La fonte dei problemi è stata individuata nell’ActiveX (HPInfoDLL.dll, CLSID 62DDEB79-15B2-41E3-8834-D3B80493887A) ed in particolare in tre differenti metodi.
Tutte le funzioni coinvolte infatti forniscono accesso al registro e ai file di sistema oltre a permettere il download automatico di software aggiuntivo.
Il controllo è stato dichiarato ‘Safe for Scripting’, il che significa che qualsiasi sito web ne ha completo accesso e può controllarlo via Javascript.
La vulnerabilità pubblicata sul noto portale Milw0rm indica che il problema affligge il software HP Info Center v1.0.1.1 in Windows 2000,XP, 2003 Server e Vista.
Nel report è stato incluso anche un codice d’exploit d’esempio.
I modelli di notebooks potenziali bersaglio dovrebbero essere i seguenti:
HP 510 Notebook PC
HP 530 Notebook PC
HP Compaq 8710w
HP Compaq 8710p
HP Compaq 8510w
HP Compaq 8510p
HP Compaq 6910b
HP Compaq 6715b
HP Compaq 6510b
HP Compaq 2710p
HP Compaq 2510p
HP Compaq NC series Business Notebook PC
HP Compaq NC6230
HP Compaq NC6220
HP Compaq NC8230
HP Compaq NX series Business Notebook PC
HP Compaq NX7300
HP Compaq NX6120
HP Compaq NX8220
HP Compaq NX6325
HP Compaq NW series Mobile Workstation
HP Compaq NW9440
HP Compaq NW8440
Altri test effettuati dal team di Heise Security ha confermato come una versione modificata dell’exploit funziona in Window XP SP2 su un HP Compaq NX 6125.
L’exploit testato invece non ha funzionato in Window Vista sui modelli 6715 e 6720, nonostante fosse installata l’ActiveX incriminata.
Per fare una verifica veloce se il proprio sistema è potenzialmente a rischio conviene verificare la versione del file:
C:/Programmi/Hewlett-Packard/HP Info Center/HPInfoDLL.dll
Il consiglio è dunque quello di usare browser alternativi come Firefox e Opera che non usano gli ActiveX.
In alternativa per gli IE-addicted si può disattivare l’uso delle ActiveX dal browser in maniera completa o solo per determinate zone.
Informazioni su come stoppare l’esecuzione di controlli ActiveX in IE si può trovare qui.
Soluzione ancora più spartana: rinominare o cancellare il file.
RIFERIMENTI:
* Backdoor in HP Compaq laptops, by Heise Security
* HP Compaq Notebooks ActiveX Remote Code Execution Exploit, vulnerability report by porkythepig
