Un investigador
independiente quiso investigar acerca de cómo manipular la retroiluminación del
teclado, sin embargo acabó encontrandose un keylogger que afectaba a varios
dispositivos.
Los dispositivos HP
tenian un keylogger en el driver del teclado. Este keylogger guarda los códigos
escaneados a una traza WPP. Por defecto,
esto se encontraba desactivado pero puede habilitarse a través de una simple
modificación en una clave de registro (requiere UAC).
Las gamas ProBook,
ZBook, EliteBook, Stream, Spectre, Pavilion y ENVY se ven afectadas en
distintos modelos. La lista completa de dispositivos afectados por dicho driver
se puede encontrar clickando sobre este enlace.
Para comprobar que el
keylogger está activo, el driver consulta a GetDriverParameter para leer el
valor de DebugMask del registro de Windows. Si el valor de DebugMask es 2
entonces la funcionalidad de debug estará activada. Por defecto, el valor de
DebugMask es 3, por lo que la funcionalidad de debugging y por tanto el
keylogging se encontrarían desactivados.
A través de este
hallazgo, podría darse la posibilidad de redirigir la traza de las pulsaciones
registradas a un archivo, permitiendo a un atacante remoto cambiar el valor del
registro y obtener dicho archivo.
Este hallazgo fue
reportado a HP, quienes confirmaron la presencia de un keylogger (que era una
traza de debug) y lanzó una actualización que elimina dicha traza. La lista de
dispositivos afectados y el driver parcheado se pueden encontrar en este
enlace.
Más información:
- HP keylogger: https://zwclose.github.io/HP-keylogger/
Fuente: Hispasec