CVE-2021-343 exploitait les défauts d’un driver utilisé par l’utilitaire Omen Gaming Hub, permettant à un attaquant en local d’exécuter du code en mode kernel.
En tant qu’heureux possesseur d’un magnifique PC HP Omen, je dois reconnaître avoir eu des sueurs froides en ce début de semaine, à la lecture du post de blog de SentinelLabs. La branche Recherche de SentinelOne a en effet communiqué sur une faille sévère découverte dans un des drivers de cette marque de PC gaming. En l’occurrence, cette vulnérabilité CVE-2021-343 était nichée dans l’OMEN Gaming Hub.
Le Gaming Hub, précédemment OMEN Command Center, est un logiciel préinstallé sur les ordinateurs OMEN. Il sert entre autres aux réglages des paramètres de la machine (GPU, vitesse des ventilateurs, l'overclocking du processeur), des touches secondaires et de l’éclairage du clavier. Or ce SDK utilise un driver, HpPortIox64.sys, dérivé du driver open source WinRing0.sys d’OpenLibSys. Lequel est connu pour ses divers problèmes…
Mode kernel
Au rang desquels la possibilité pour des applications en mode utilisateur d'effectuer diverses opérations privilégiées en mode kernel. Vous voyez où SentinelLabs veut en venir : la vulnérabilité permet à un attaquant de monter en privilège au niveau du kernel, de sorte à par exemple pouvoir contourner des mesures de sécurité, écraser des composants système et autres joyeusetés.
Prévenu, HP a déployé des patchs (Gaming Hub version 11.6.3.0 et Gaming Hub SDK Package 1.0.44) afin de supprimer le composant en cause. « Cette vulnérabilité de gravité élevée affecte des millions de PC et d'utilisateurs dans le monde » explique Sentinel Lab. « Bien que nous n'ayons aucun indicateur indiquant que ces vulnérabilités ont été exploitées jusqu'à présent, l'utilisation de n'importe quel PC de marque OMEN avec le pilote vulnérable utilisé par OMEN Gaming Hub rend l'utilisateur potentiellement vulnérable ».