近期，國家信息安全漏洞共享平臺（CNVD）收錄了惠普筆記本音頻驅動內置鍵盤記錄器后門漏洞 (CNVD-2017-09590，對應編號CVE-2017-8360)。攻擊者可利用在當前用戶會話中運行的任何進程監控調試信息，記錄用戶通過鍵盤輸入的任意內容，包括用戶輸入的密碼等敏感數據，構成較為嚴重的信息泄露和運行安全風險。

一、漏洞情況分析

2017年4月28日，瑞士安全公司Modzero的安全研究員Thorsten Schroeder在審查Windows Active Domain的基礎設施時發現，惠普IT產品（筆記本電腦）中的Conexant音頻驅動程序內置了用于調試產品的MicTray64.exe（鍵盤記錄器），可記錄用戶的所有按鍵輸入。在原出廠環境下，MicTray64.exe與Conexant音頻驅動程序包被同時安裝在筆記本電腦中，鍵盤記錄功能除了處理快捷鍵/功能鍵的點擊事件外，所有的鍵盤輸入信息都會被寫入所有用戶權限都可讀的路徑中的日志文件（C:UsersPublicMicTray.log）中，甚至會傳遞給OutputDebugString API，這使得任何可以調用MapViewOfFile API的框架或者進程都能夠通過用戶的鍵盤輸入信息靜默的收集敏感數據，并在白名單機制下繞過殺毒軟件檢測。

CNVD對漏洞的綜合評級為“高危”。

二、漏洞影響范圍

受漏洞影響的硬件產品型號：

HP EliteBook 820 G3 Notebook PC

HP EliteBook 828 G3 Notebook PC

HP EliteBook 840 G3 Notebook PC

HP EliteBook 848 G3 Notebook PC

HP EliteBook 850 G3 Notebook PC

HP ProBook 640 G2 Notebook PC

HP ProBook 650 G2 Notebook PC

HP ProBook 645 G2 Notebook PC

HP ProBook 655 G2 Notebook PC

HP ProBook 450 G3 Notebook PC

HP ProBook 430 G3 Notebook PC

HP ProBook 440 G3 Notebook PC

HP ProBook 446 G3 Notebook PC

HP ProBook 470 G3 Notebook PC

HP ProBook 455 G3 Notebook PC

HP EliteBook 725 G3 Notebook PC

HP EliteBook 745 G3 Notebook PC

HP EliteBook 755 G3 Notebook PC

HP EliteBook 1030 G1 Notebook PC

HP ZBook 15u G3 Mobile Workstation

HP Elite x2 1012 G1 Tablet

HP Elite x2 1012 G1 with Travel Keyboard

HP Elite x2 1012 G1 Advanced Keyboard

HP EliteBook Folio 1040 G3 Notebook PC

HP ZBook 17 G3 Mobile Workstation

HP ZBook 15 G3 Mobile Workstation

HP ZBook Studio G3 Mobile Workstation

HP EliteBook Folio G1 Notebook PC

受漏洞影響的操作系統：

Microsoft Windows 10 32

Microsoft Windows 10 64

Microsoft Windows 10 IOT Enterprise 32-Bit (x86)

Microsoft Windows 10 IOT Enterprise 64-Bit (x86)

Microsoft Windows 7 Enterprise 32 Edition

Microsoft Windows 7 Enterprise 64 Edition

Microsoft Windows 7 Home Basic 32 Edition

Microsoft Windows 7 Home Basic 64 Edition

Microsoft Windows 7 Home Premium 32 Edition

Microsoft Windows 7 Home Premium 64 Edition

Microsoft Windows 7 Professional 32 Edition

Microsoft Windows 7 Professional 64 Edition

Microsoft Windows 7 Starter 32 Edition

Microsoft Windows 7 Ultimate 32 Edition

Microsoft Windows 7 Ultimate 64 Edition

Microsoft Windows Embedded Standard 7 32

Microsoft Windows Embedded Standard 7E 32-Bit

注：其它使用了Conexant硬件和驅動器的硬件廠商也有可能受該問題影響。

三、漏洞修復建議

惠普針對該情況緊急發布過一個關閉此調試功能的修復程序。2017年5月14日，惠普又發布了更新的修復驅動程序，該程序能將所有高保真音頻驅動中有此調試記錄功能的源代碼刪除。受影響的惠普電腦對應修復程序的列表請參考惠普官網： https://support.hp.com/us-en/document/c05519670

如未能升級，可以采用如下臨時解決方案：

刪除MicTray可執行文件和相應的日志記錄文件。僅僅刪除計劃任務是不能解決問題的，因為Windows服務CxMonSvc將再一次啟動MicTray。刪除文件位置如下：

可執行文件的位置：C:WindowsSystem32MicTray64.exe

日志文件的位置：C:UsersPublicMicTray.log

附：參考鏈接：

https://newsblog.ext.hp.com/t5/HP-newsroom-blog/Modzero-report-on-keylogger-issue/ba-p/937?from=groupmessage

https://www.modzero.ch/advisories/MZ-17-01-Conexant-Keylogger.txt

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09590

稿源：國家互聯網應急中心