Bill Demirkapi นักวิจัยด้านความปลอดภัยวัย 18 ปี ตรวจพบช่องโหว่ใน Software ของ HP ที่ติดตั้งลงบน Windows อย่าง HP’s Support Assistant ถึง 10 ช่องโหว่ ที่อาจเสี่ยงต่อการถูกควบคุมเครื่องจากระยะไกล ซึ่ง Software ตัวนี้ถูกติดตั้งลงบนเครื่อง Windows desktop และ laptop computers ของทาง HP ตั้งแต่เดือนตุลาคมปี 2012 เป็นต้นมา ซึ่งเป็น Software ที่จะช่วยในการ update ทั้ง drivers และ utilities บนเครื่อง โดย Bill Demirkapi ค้นพบช่องทางในการในการโจมตีเพื่อทำการ remote code execution ถึง 3 ช่องทาง ดังนี้

1. หลอกให้เหยื่อทำการคลิกที่กล่องโต้ตอบ 2 ครั้งหลังทำการเข้า Website ที่เป็นอันตราย
2. ใช้ signed HP binary เพื่อทำการโหลด DLL ที่เป็นอันตราย เมื่อเหยื่อคลิกติดตั้ง แฮกเกอร์จะสามารถ Remote จากระยะไกลได้ทันที ซึ่งวิธีนี้จะใช้ได้ผลกับ Software ที่ใช้ภาษาอย่าง อาหรับ, ฮิบรู, รัสเซีย, จีน, เกาหลี, ไทยหรือญี่ปุ่นเท่านั้น
3. แฮกเกอร์จะใช้ประโยชน์จากการตรวจสอบและยอมรับ security certificates เพื่อสร้าง certificate ปลอม ๆ และหลอกให้เหยื่อคลิกติดตั้ง RCE [remote code execution] โดย HP ตรวจสอบช่องโหว่นี้แล้ว ล้วนแต่เป็นเครื่องที่ติดตั้ง HP’s Signature Software ทั้งสิ้น ถ้ามีการติดตั้ง software นี้ ระบบจะทำการตรวจสอบแค่ Subject ว่ามีชื่อเช่น “hewlett-packard,” “hewlett packard” หรือ “o = hp inc” หรือไม่ และแน่นอนว่าการตรวจสอบแค่นี้ แฮกเกอร์สามารถปลอมแปลงได้ง่ายมาก

และทาง Demirkapi ยังค้นพบช่องโหว่ของการเลื่อนระดับสิทธิ์ (local privilege escalation) อีก 5 ช่องโหว่และอีก 2 ช่องโหว่เกี่ยวกับการลบไฟล์โดยไม่ได้รับอนุญาต ซี่งรายงานเกี่ยวกับช่องโหว่ทั้งหมดถูกส่งไปให้ HP แล้วในช่วงเดือนตุลาคม 2019 ที่ผ่านมา และถูกการแก้ไขไปแล้วบางส่วน โดย Demirkapi ได้แนะนำให้ผู้ใช้งานควรทำการ Update Software ให้เป็นปัจจุบันที่สุดเพื่ออุดช่องโหว่ข้างต้นที่ HP ได้ Patch ไปแล้ว ส่วนจะใช้งาน HP Support Assistant ต่อหรือไม่นั้นขึ้นอยู่กับการตัดสินของผู้ใช้งานเอง สำหรับทาง HP เองก็ได้ออกมาแถลงว่าทางว่าได้รับเรื่องของช่องโหว่และได้ทำการค้นคว้าเพื่ออุดช่องโหว่ด้านความปลอดภัยต่าง ๆ ของ HP Support Assistant แล้ว เพื่อที่จะแก้ไขและอัปเดตแพทซ์ให้เสร็จสมบูรณ์เร็ว ๆ นี้

ข่าวจาก : https://www.databreachtoday.com/researcher-finds-flaws-in-hps-software-assistant-tool-a-14059