Modzero, una empresa de seguridad en Suiza, descubrió un registrador de teclas Conexant preinstalado en ciertos modelos de computadoras portátiles. Es un controlador de audio ubicado en la carpeta del sistema de Windows. Este controlador se carga automáticamente cada vez que un usuario inicia sesión. Los modelos afectados incluyen HP Elitebook, ProBook y ZBook, incluido el Folio G1 más nuevo.
Conexante HD
ZDNet informa que el controlador de audio es de Conexant Systems, Inc., versiones 1.0.0.46 y posteriores. Cualquier entidad (persona o malware) con acceso a los archivos del usuario en uno de los modelos puede ver contraseñas, páginas web visitadas, mensajes privados y más. Modzero dice que el keylogger monitorea “todas las pulsaciones de teclas realizadas por el usuario para capturar y reaccionar a funciones como silenciar/activar teclas/teclas de acceso directo del micrófono”.
Las pulsaciones de teclas se registran en un archivo de registro sin cifrar que se almacena en el directorio de inicio del usuario. Se sobrescribe después de cada inicio de sesión. Si el archivo de registro no existe, la API del controlador de audio puede permitir que el malware capture las pulsaciones de teclas.
Cronología
2017-04-28: Se descubrió una vulnerabilidad en MicTray64 versión 1.0.0.31 / Jue 24 de diciembre 08:35:35 2015 * 2017-04-28: Se contactó al proveedor Conexant (correo electrónico)2017-04-29: Se ha descubierto un mayor impacto en la versión más reciente de MicTray64 1.0.0.46 / Tue Oct 11 10:56:13 20162017-04-30: CVE-2017-8360 ha sido asignado a esta vulnerabilidad.2017-05-01: Se contactó con el asesor de seguridad de Hewlett-Packard Enterprise con una descripción detallada del problema.2017-05-02: Se contactó con el proveedor Conexant a través de Twitter2017-05-05: Información técnica enviada al contacto de seguridad de HPE. Informó a HPE sobre la publicación del aviso el lunes 8 de mayo en caso de que no recibamos comentarios sobre nuestro informe.2017-05-05: Recibí algunas notas de HPE después de enviar información técnica. Intentaron comunicarse con la gente de seguridad de HP Inc. para llamar la atención.2017-05-11: Publicación del aviso
Más detalles
Puede visitar el aviso de seguridad de Modzero para obtener la lista completa de computadoras portátiles y versiones de Windows afectadas. Un fragmento del código hexadecimal del keylogger fue publicado en Twitter:
Además, un investigador de seguridad anónimo contactó ZDNet y confirmó el aviso. Por ahora, Modzero dice que eliminar MicTray64.exe debería resolver el problema del registrador de teclas Conexant hasta que se publique un parche de seguridad oficial.
Cómo eliminar MicTray64.exe
MicTray64 es el proceso de Windows de Conexant. Puede causar problemas con el micrófono de su computadora portátil, pero eso es mejor que el robo de sus datos privados. Modzero da un método:
Todos los usuarios de computadoras HP deben verificar si el programa C:WindowsSystem32MicTray64.exe o C:WindowsSystem32MicTray.exe está instalado. Le recomendamos que elimine o cambie el nombre de los archivos ejecutables para que no se registren más pulsaciones de teclas. Sin embargo, es posible que las teclas de funciones especiales de los teclados ya no funcionen como se esperaba. Si existe un archivo C:UsersPublicMicTray.log en el disco duro, también debe eliminarse de inmediato, ya que puede contener mucha información confidencial, como información de inicio de sesión y contraseñas.
Tenga cuidado mientras esté en System32 y no elimine nada más.
