丁酉年 ︻鸡年︼ 丁未月乙未日

　　农历 六月十四 二零一七年 七月七日

　　7

　　宜预防

国家某部委和中国保监会下属的网络安全部门分别发布公告，通报了惠普电脑的音频驱动程序存在漏洞，存在信息安全隐患，请部署必要的安全检测与防护设备。

－华为未然实验室

击键记录会被存储，恐遭恶意软件利用

　　2017年4月，瑞士安全公司Modzero的安全研究员 Thorsten Schroeder发现，部分惠普笔记本电脑和平板电脑中的Conexant音频驱动程序存在Keylogger行为，可以记录用户的击键内容。该软件不仅仅捕获了特定按键的按键记录，而且还记录了每个按键的点击信息，并将它们存储在一个可读的文件中：C:UsersPublicMicTray.log。

　　虽然存在漏洞的程序不会直接传输用户的敏感信息，但是由于该文件可以直接被读取，一旦被恶意软件或木马利用，那么用户的账户信息和密码，以及聊天记录等个人信息就存在泄漏的风险。

惠普回应为意外，新版驱动已经修复

　　惠普对这一漏洞进行了调查，“声卡驱动程序中部分调试代码被错误地保留下来，这是一个意外。这些代码的目的是帮助我们调试、解决驱动程序出现的问题。”

　　根据惠普的回应，本次漏洞涉及的惠普产品型号包括HP EliteBook 800h和700系列，HP ProBook 600和400系列等主流机型。涉及的操作系统包括了最常见的Microsoft Windows 10和7等系列。

个人用户升级驱动，删除本地记录文件

　　惠普公司已经于2017年05月14日发布了新的驱动程序软件，修复了这一漏洞。使用惠普笔记本的用户请尽快更新驱动程序，参考：https://support.hp.com/us-en/document/c05519670。

　　同时，个人用户可以检查电脑的硬盘，如果发现MicTray.log文件，立即将其删除，避免被恶意软件利用，造成隐私泄露。

企业用户加固终端，边界阻断恶意软件

　　对于企业用户而言，除了在终端层面进行必要的升级加固外，可以针对该漏洞的特点，在Internet边界部署必要的安全防护设备，避免利用该漏洞的恶意软件进入内网。当前华为安全沙箱可检测利用CVE-2017-8360漏洞的可疑行为，并通过和防火墙联动实现阻断，可以有效预防与此漏洞相关的恶意行为。

　　边界防火墙对出入流量进行还原，将可能包含恶意程序的文件发送给沙箱，沙箱将文件在虚拟环境中进行模拟运行，一旦发现有读取MicTray.log的行为，即可判断为恶意软件，同时进行报警，与防火墙联动后，由防火墙阻断后续的行为。

　　华为未然实验室模拟了恶意软件访问MicTray.log的行为，通过配置相应规则，华为沙箱FireHunter6000系列可以直接识别。

　　华为沙箱FireHunter6000系列产品，支持50+文件类型检测，全面识别未知恶意软件。拥有4重纵深检测，准确性达99.5%以上。支持秒级联动响应，快速拦截未知恶意软件。有效避免未知威胁攻击的迅速扩散，避免企业核心信息资产的损失，特别适用于金融、政府机要部门、能源、高科技等关键用户。