La popular marca de notebooks HP (Hewleet Packard) se ha visto envuelta en un problema de seguridad bastante importante en esta semana, ya que la empresa china Modzero ha encontrado un sistema de registro de teclas pulsadas preinstalado – que viene con el sistema, de fabrica – conocido en inglés como «Keylogger» exponiendo en al alcance de cualquiera nuestra información y seguridad.
Este keylogger se encuentra preinstalado en los controladores del sonido, sin ningún tipo de seguridad, funciona almacenando cada una de las teclas que presionamos (imagínense en el acceso al Home Banking, o en un chat comprometedor) esto realmente representa un peligro.
Para comenzar, pueden revisar la lista de modelos afectados:
Equipos HP afectados
- HP EliteBook 820 G3 Notebook PC
- HP EliteBook 828 G3 Notebook PC
- HP EliteBook 840 G3 Notebook PC
- HP EliteBook 848 G3 Notebook PC
- HP EliteBook 850 G3 Notebook PC
- HP ProBook 640 G2 Notebook PC
- HP ProBook 650 G2 Notebook PC
- HP ProBook 645 G2 Notebook PC
- HP ProBook 655 G2 Notebook PC
- HP ProBook 450 G3 Notebook PC
- HP ProBook 430 G3 Notebook PC
- HP ProBook 440 G3 Notebook PC
- HP ProBook 446 G3 Notebook PC
- HP ProBook 470 G3 Notebook PC
- HP ProBook 455 G3 Notebook PC
- HP EliteBook 725 G3 Notebook PC
- HP EliteBook 745 G3 Notebook PC
- HP EliteBook 755 G3 Notebook PC
- HP EliteBook 1030 G1 Notebook PC
- HP ZBook 15u G3 Mobile Workstation
- HP Elite x2 1012 G1 Tablet
- HP Elite x2 1012 G1 with Travel Keyboard
- HP Elite x2 1012 G1 Advanced Keyboard
- HP EliteBook Folio 1040 G3 Notebook PC
- HP ZBook 17 G3 Mobile Workstation
- HP ZBook 15 G3 Mobile Workstation
- HP ZBook Studio G3 Mobile Workstation
- HP EliteBook Folio G1 Notebook PC
Sistemas operativos
Los sistemas afectados por esta falla de seguridad son todas las versiones de Windows 7 y Windows 10, de 32bits o 64bits.
¿Tu equipo está en la lista? ¡Seguí estos pasos!
Los escenarios en que esta amenaza puede convertirse en un incidente de seguridad es si un usuario tiene acceso a la computadora en forma física o compartiendo la carpeta Pública presente en el equipo.
Por defecto la carpeta Pública no se comparte pero es altamente probable que algún usuario la utilice para compartir archivos de manera pública en la red.
El archivo en cuestión se encuentra en C:\Users\Public\MicTray.log y si lo abrimos mediante el block de notas, veremos allí todas las teclas ingresadas, la salvedad que podemos mencionar es que este archivo se borra y se reescribe al iniciar nuevamente la computadora.
El software encargado de realizar la captura de estas pulsaciones de teclado puede estar presente en dos formas dependiendo de la arquitectura del sistema operativo, ya sea de 32bits o 64bits
C:\Windows\System32\MicTray64.exe
C:\Windows\System32\MicTray.exe
Si revisas y encuentras estos archivos es muy probable que el software haya estado registrando todas las pulsaciones de teclado y dejando todo registrado en:
C:\Users\Public\MicTray.log
Lamentablemente la dirección C:\Users\Public\ son directorios de acceso global al sistema operativo, por lo que cualquier computador que esté siendo compartido puede ver el archivo del otro.
La ejecución de MicTray64.exe y MicTray.exe se realizaba gracias a un Schedule Tasks (tarea prograda) en Windows.
Se ha notificado a lo largo de internet que muchos encuentran el archivo MicTray.log vacio. Cuando esto ocurre simplemente basta con revisar que MicTray64.exe y MicTray.exe no estén presentes en el sistema para estar seguros.
Para solucionar momentaneamente esta vulnerabilidad tan solo basta con eliminar los archivos MicTray64.exe y MicTray.exe de la carpeta System32 y el registro de Log.
Fuente: ModZero Information
Deja un comentario