SafeBreach fanger sårbarhet i kontroversiell HP Touchpoint Analytics-programvare

Stephen Hawking og HPE vil bruke data for å lære hvordan universet startet Hawkings COSMOS-gruppe vil bruke Superdome Flex superdatamaskin for å analysere gravitasjonsbølgedata, sier Alison DeNisco Rayome fra TechRepublic.

Siden HP Touchpoint Analytics ble introdusert for brukere i 2017, har det vært en hotrod for kontrovers. I 2017 sa HP funksjonen "anonymt samler inn diagnostisk informasjon om maskinvarens ytelse. Ingen data blir delt med HP med mindre tilgang er gitt uttrykkelig. Kunder kan velge bort eller avinstallere tjenesten når som helst."

Men brukere har fortsatt å fylle forum med klager på det, alt fra spørsmål om sikkerhet til påstander om at det bremset datamaskinene deres.

Nå er funksjonen omsluttet av en annen mindre kontrovers etter at sikkerhetsforskere ved SafeBreach sa de avdekket en ny sårbarhet. HP Touchpoint Analytics leveres forhåndsinstallert på mange HP-enheter som kjører Windows. Hver versjon under 4.1.4.2827 er påvirket av hva SafeBreach fant.

I et blogginnlegg sa SafeBreach Labs sikkerhetsforsker Peleg Hadar at fordi tjenesten utføres som "NT AUTHORITY \ SYSTEM", har den ekstremt kraftige tillatelser som gir den bred tilgang.

"CVE-2019-6333-sårbarheten gir angripere muligheten til å laste og utføre ondsinnet nyttelast ved hjelp av en signert tjeneste. Denne muligheten kan misbrukes av en angriper for forskjellige formål som utførelse og unndragelse, for eksempel: Application Whitelisting Bypass Signature Validation Bypassing, "Skrev Hadar.

"Komponentene som lar HP Touchpoint Analytics få tilgang til sensitiv maskinvare på lavt nivå (for eksempel fysisk minne, MSR og SMBios) er levert av et åpen kildekode overvåking bibliotek for maskinvare som kalles 'Open Hardware Monitor'."

Spesiell rapport: En vinnende strategi for cybersecurity (gratis PDF) (TechRepublic Premium)

SafeBreach-rapporten forklarte at sikkerhetsfeilen ble funnet i HP Touchpoint Analytics 'open source-programvare og demonstrerte hvordan den potensielt kan brukes av cyberkriminelle for å få eskalering og utholdenhet ved å laste inn en vilkårlig usignert DLL til en tjeneste som kjøres som SYSTEM.

Lindsey O'Donnell på Threatpost forklarte at "den berørte programvaren, Open Hardware Monitor, overvåker temperatursensorer, viftehastigheter, spenninger, belastning og klokkehastigheter på en datamaskin. Den brukes av titalls millioner datamaskiner og er en viktig tredjepart komponent av HP Touchpoint Analytics. "

På slutten av rapporten om problemet bemerker Hadar at SafeBreach varslet HP om sårbarheten 4. juli 2019 og gikk gjennom en lang frem og tilbake som varte i fire måneder. HP ga bare ut en sikkerhetsbulletin om problemet tidligere denne måneden 4. oktober.

"HP distribuerer bredt denne sikkerhetsbulletin for å gjøre oppmerksom på brukere av de berørte HP-produktene den viktige sikkerhetsinformasjonen i denne Bulletin. HP anbefaler at alle brukere bestemmer anvendeligheten av denne informasjonen i deres individuelle situasjoner og iverksetter passende tiltak, "Sa HP i varselet.

"HP garanterer ikke at denne informasjonen nødvendigvis er nøyaktig eller fullstendig for alle brukersituasjoner, og følgelig vil HP ikke være ansvarlig for eventuelle skader som følge av brukerens bruk eller ignorering av informasjonen gitt i denne Bulletin. I den grad loven tillater det, HP fraskriver seg alle garantier, enten uttrykkelige eller underforståtte, inkludert garantiene for salgbarhet og egnethet for et bestemt formål, tittel og ikke-krenkelse. "

Selskapet har lenge måttet forsvare HP Touchpoint Analytics mot kritikere som sier at det gir HP unødvendig tilgang til brukernes systemer. Da det først ble mye lagt merke til i 2017, klaget flere titalls brukere på at de ikke hadde samtykket til å legge til systemet.

"Jeg fant HP Touchpoint Manager uventet distribuert på PC-en min tidligere denne uken (16/11) - tydeligvis uten mitt samtykke. Jeg forstår at det samler alle slags telemetri-data - og jeg er ikke villig til å dele for mye av det virkelig, definitivt ikke uten min viten, "skrev en bruker i november 2017.

På det tidspunktet ble HP tvunget til å gi ut en uttalelse som sa at tjenesten ble tilbudt siden 2014 som en del av HP Support Assistant. "De gjentok at HP ikke samlet inn noen data uten å bli" uttrykkelig innvilget ", noe brukere fremdeles bestrider.

"HP Touchpoint Analytics ble nylig oppdatert, og det var ingen endringer i personverninnstillingene som en del av denne oppdateringen. Vi tar kundenes personvern veldig alvorlig og opptrer i samsvar med en streng policy som er tilgjengelig her, " heter det i selskapets uttalelse i 2017.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2021 | pepebotifarra.com