セキュリティ研究者がドライバーレベルのキーロガーを発見したことを受けて、HP社がノートパソコンにパッチを当てなければならなくなったのは今年で2度目だ。今回は、他のノートパソコンメーカーも自社製品をチェックしなければならないかもしれない。
デバッグトレースは、HPのノートパソコンでほぼ全面的に使用されているSynapticsタッチパッドドライバに存在していました。デフォルトでは無効になっていますが、レジストリエントリを設定することで有効にすることができます。家庭ユーザーがこれを有効にする可能性は低いでしょうが、RAT(リモートアクセス型トロイの木馬)を悪用する者にとっては格好の攻撃手段となるでしょう。
このバグは、HP ノートパソコンのキーボードのバックライトを調整できるかどうかを調べるためにドライバーを調べていた「ZwClose」によって発見されました。
SynTP.sys キーボード ドライバーの次の行が ZwClose の注目を集めました。
暴露されたテキスト:「uLScanCode=0x%02X, bKeyFlags=%X"
さらに調べてみると、ドライバーは「スキャン コードを WPP トレース (Windows ソフトウェア トレース プリプロセッサ) に保存」していることがわかりました。
HP はこの問題を認識し、173 を超える商用製品と 293 を超える消費者向け製品向けにアップデートをリリースしました。
ZwClose は、修正は Windows Update でも提供されるだろうと書いています。
まだ修正を待っている消費者向け製品には、HP Envy の 8 つの派生機種、HP Stream シリーズ、および HP x360 11 コンバーチブルが含まれます。
HPのアドバイザリでは、この脆弱性は「SynapticsのOEMパートナー全員に影響する」と述べられているため、今後、多数のドライバアップデートがリリースされることが予想されます。HPはさらに、「この問題により、SynapticsもHPも顧客データにアクセスすることはできません」と付け加えています。
2017年5月、スイスのセキュリティ研究機関Modzeroの研究者が、HPノートパソコンのConexantオーディオドライバーにキーロガーを発見しました。今回の発見と同様に、ログ記録は開発者が製品版から削除し忘れたデバッグコードに存在していました。®
