HPOMEN在影响全球数百万台游戏计算机的驱动程序软件中存在严重漏洞。该漏洞名为CVE-2021-3437(CVSS评分:7.8),可能允许威胁参与者将权限升级到内核模式而无需管理员权限,从而禁用安全产品、覆盖系统组件,甚至破坏操作系统的运行。今年2月17日,网络安全公司SentinelOne发现并向惠普报告了该漏洞,但当时没有证据表明该漏洞被野外利用。该漏洞源于一个名为OMENCommandCenter的组件,该组件预装在HPOMEN品牌的笔记本电脑和台式机上,也可以从MicrosoftStore下载。除了通过Vitals仪表板监控GPU、CPU和RAM之外,该软件最初旨在帮助微调网络流量和超频游戏PC以提高计算机性能。值得注意的是,HPOMENCommandCenter中的一个驱动程序HpPortIox64.sys虽然表面上是由HP开发的,但实际上是基于另一个充满已知漏洞的驱动程序(OpenLibSys开发的WinRing0.sys)修改开发的。因此,在某些情况下,攻击者可以获得对组织网络的访问权限,在未打补丁的系统上执行代码并利用漏洞获得本地权限升级,最后使用其他技术横向移动到更广泛的网络。注意:WinRing0.sys在2020年被发现存在漏洞,允许低权限用户读写任意物理内存、读取和修改特定于模型的寄存器(MSR)以及读取/写入主机上的IO端口。也就是说,驱动程序接受输入/输出控制(IOCTL)调用而不应用任何类型的ACL强制。为了减少攻击面,开发人员应该对设备对象实施强ACL,验证用户输入,并且不要将通用接口暴露给内核模式操作。综合来看,此次惠普游戏笔记本内核级漏洞事件也标志着WinRing0.sys第二次因在惠普产品中引发安全问题而备受关注。参考来源:https://thehackernews.com/2021/09/hp-omen-gaming-hub-flaw-affects.html
