高危漏洞CVE-2021-3437 漏洞影響數百萬臺 HP OMEN 游戲 PC

數以百萬計的惠普OMEN筆記本電腦和臺式游戲電腦受到一個高度嚴重的漏洞的多重攻擊，該漏洞被SininelLabs的研究人員發現為CVE-2021-3437。

"在 OMEN 游戲中心 SDK 包中已發現潛在的安全漏洞，該包可能允許特權升級和/或拒絕服務。惠普正在發布軟件更新，以減輕潛在的漏洞。

攻擊者可以利用該漏洞觸發拒絕服務 （DoS） 條件、升級特權和禁用安全解決方案，問題獲得 CVSS 分數為 7.8。

數百萬臺 HP OMEN 筆記本電腦和臺式游戲計算機面臨高度嚴重的漏洞攻擊，這些漏洞可能會讓威脅行為者觸發拒絕服務狀態或升級特權并禁用安全解決方案。

"可利用的內核驅動程序漏洞可能導致無特權用戶訪問 SYSTEM，因為易受攻擊的驅動程序是本地提供給任何人的。 這種高度嚴重的缺陷，如果被利用，可以允許任何用戶在計算機上，即使沒有特權，升級特權和運行代碼在內核模式。此類漏洞的明顯濫用包括它們可用于繞過安全產品。

威脅行為人可能會觸發缺陷，從而在目標 HP OMEN 設備上獲得系統特權，然后禁用安全產品并執行其他惡意活動，例如破壞基礎操作系統。

該缺陷會影響預安裝在 HP OMEN 系統上的OMEN 游戲集線器軟件使用的驅動程序，該軟件允許控制和優化設置，包括設備 GPU、風扇速度、CPU 過鎖和內存。

該漏洞源于從 WinRing0 中重復使用有缺陷的代碼.sys OpenLibsys 開發的代碼。

WinRing0.sys 是一個 Windows 驅動程序，允許計算機與硬件或連接的設備進行通信，因此，它可以直接訪問操作系統、硬件等的內部。

HP 使用 HpPortIox64 中的易受攻擊代碼.sys OMEN 游戲集線器軟件的驅動程序，該軟件允許讀取/編寫內核內存、PCI 配置、IO 端口和型號特定注冊表 （MSR）。

"此驅動程序使用戶模式應用程序能夠通過 IOCTLs 接口執行各種特權內核模式操作。"出于穩定性原因，開發人員可能會發現，出于穩定性原因，將特權操作的通用界面暴露給用戶模式很方便，因為從內核模塊中保留盡可能多的代碼。IOCTL 代碼0x9C4060CC、0x9C4060D0、0x9C4060D4、0x9C40A0D8、0x9C40A0DC和0x9C40A0E0允許具有低特權的用戶模式應用程序讀取/寫入或從 IO 端口讀取/寫入 1/2/4 字節。這可以通過多種方式加以利用，最終以我們以前在此描述的方式以更高的特權運行代碼。

研究人員開發了一個示例驅動程序來演示攻擊，而無需進行實際利用，試圖重新啟動運行該攻擊的機器將導致"未找到操作系統"錯誤消息，因為 PoC 代碼破壞了磁盤的第一部分 （MBR）。

"值得一提的是，此漏洞的影響取決于平臺。它可用于攻擊設備固件或執行舊的PCI訪問通過訪問端口

0xCF8/0xCFC。

一些筆記本電腦可能有嵌入式控制器，可以通過 IO 端口訪問到達。

該漏洞影響多個產品，包括 11.6.3.0 版本之前的 HP OMEN 游戲中心和 1.0.44 之前的 HP OMEN 游戲集線器 SDK 包

惠普已經發布了安全補丁，以修復CVE-2021-3437漏洞通過微軟商店7月27日。

今年7月，SentinelOne的研究人員發現惠普、施樂和三星打印機驅動程序存在16年的安全漏洞，這使攻擊者能夠在運行有缺陷的驅動程序的系統上獲得管理員權。這一發現是幾個月前偶然發現的，當時專家們正在配置一臺全新的惠普打印機，并注意到2005年的一臺舊打印機司機叫SSPORT。SYS 正在觸發過程黑客的警報。

"這導致惠普、施樂和三星打印機驅動程序軟件中發現了高度嚴重的漏洞，這些漏洞已經 16 年未公開。此漏洞影響超過380 種不同的 HP 和三星打印機型號以及至少十幾種不同的施樂產品。

該漏洞被跟蹤為CVE-2021-3438，是位于 SSPORT 中的緩沖溢出。一些打印機型號使用的 SYS 驅動程序。