Sicherheitsforscher stießen in HP-Business-Notebooks auf merkwürdiges Verhalten: Der Audio-Treiber schreibt alle Tastatureingaben einschließlich der Passwörter des Anwenders in eine öffentlich lesbare Datei.

Der vom Hersteller der Komponente Conexant gelieferte Treiber MicTray64.exe ist ab Werk auf HP-Notebooks der Serien EliteBook, ProBook, Elite x2 und ZBook installiert. Er klinkt sich in die Windows-Tastatureingabe-Funktionen ein, um auf Spezialtasten wie die zum Ändern der Lautstärke passend reagieren zu können. Das entspricht dem, was man von einem Audio-Treiber erwartet. Darüber hinaus schreibt der Treiber jedoch alle Tasten-Codes in die öffentlich lesbare Datei C:\Users\Public\MicTray.log ; ältere Versionen melden die Tasten-Codes über das Windows-Debug-API ( OutputDebugString() ), erklären Sicherheitsforscher der Schweizer Firma modzero.

Passwörter in Gefahr

Die Forscher haben zu Demonstrationszwecken ein einfaches Skript geschrieben, das Debug-Meldungen mitliest und hier das Passwort für den Passwort-Safe erschnüffelt. (Bild: modzero)

Um von diesem Keylogger zu profitieren, muss ein Angreifer beziehungsweise dessen Schadprogramm bereits Zugriff auf das System haben. Es kann sich dann jedoch den eigenen, womöglich Verdacht oder sogar Alarm auslösenden Keylogger sparen und einfach die Debug-Meldungen oder die Log-Datei mitlesen, um alle Tastatureingaben des Anwenders auszuwerten. Die Log-Datei wird nur bei einem neuen Anmeldevorgang überschrieben. Bei der typischen Nutzung, bei der der Anwender sein Notebook selten richtig ausschaltet, sondern über Tage hinweg nur die Suspend-Funktion beim Zuklappen des Deckels nutzt, findet ein Trojaner mit etwas Glück in der Log-Datei bereits die in den letzten Tagen eingegebenen Passwörter vor. Auch in Backups dürften sich Tastatureingaben und damit auch Passwörter finden.

Im Log-File landen die Scancodes aller Tasten die der Anwender drückt. Sie lassen sich ganz einfach in die entsprechenden Zeichenketten umwandeln. (Bild: modzero)

Das Problem scheint nicht neu zu sein. Thorsten Schröder von modzero, der den Keylogger bei einem Security-Review im Auftrag eines großen Konzerns gefunden hatte, fand das Keylogging in Treibern, die bereits 2015 erstellt wurden. Es handelt sich dabei wohl um eine vergessene Debug-Funktion des Herstellers. "Ich habe keine Hinweise auf eine bösartige Hintertür gefunden" erkärte Schröder gegenüber heise Security.

Keine Abhilfe in Sicht

Schröder hat nach eigenen Angaben auch versucht den Hersteller Conexant und HP über das Problem in Kenntnis zu setzen. Da diese jedoch keine Anstalten unternahmen, es zu beseitigen, veröffentlichte er ein Security Advisory ohne das sonst übliche Coordinated Disclosure Procedere. Ob das eigene Notebook betroffen ist, kann man an der Existenz der Log-Datei (MicTray64 version 1.0.0.46) beziehungsweise mit dem Tool DebugView der SysInternals-Suite (MicTray64 version 1.0.0.31) feststellen. Um sich zu schützen, kann man behelfsmäßig die Treiberdatei MicTray64.exe entfernen. Das führt allerdings dazu, dass zumindest die Hotkeys nicht mehr funktionieren.

Update 11.5.2017, 17:30: Betroffene Versionsnummern des Treibers nachgetragen. (ju)