IT業界資訊媒體

【日防夜防】Huawei MateBook 自開後門

繼 ASUS 電腦之後,今次輪到 Huawei 嘅手提電腦  MateBook  出事。當 Microsoft 將微軟衛士先進威脅保護系統 (Microsoft Defender Advanced Threat Protection Service ),安裝入 MateBook 嘅 Windows 10 作業系統 1809 版本,透過強大嘅人工智能分析能力,發現 MateBook 內預裝嘅  PCManager 驅動程式存有後門,可以俾無特權嘅用戶利用後門提升特權帳戶,繼而控制電腦。經 Microsoft 向 Huawei 報告後,漏洞已經喺今年一月修補,如果用家仍未更新系統,就會盡快做嘢喇。

MateBook 權限設定出錯

今次能夠發現 Huawei MateBook 嘅後門,全因 Microsoft  偵測到 PCManager 出現不尋常嘅動作,於是就即時通知 Microsoft 嘅網絡安全分析人員。 系統發現當 PCManager 出現故障或停止服務而需要重啟時,驅動程式就會用 APC (asynchronous procedure calls),注入 shellcode 到 Windows 系統進程,而無使用 Windows 標準嘅服務管理去重啟服務。雖然分析人員喺初步調查後,發現 驅動程式有嘗試令呢個動作只會與本身嘅服務溝通,但由於權限設定上出現錯誤,以至可以俾黑客執行特權代碼開啟後門,提升其內核(Kernel)執行權限至最高級別嘅 Ring-0 。

雖然呢個漏洞喺 Microsoft 通報後,Huawei 已經即時喺一月作出修補,不過 Microsoft 同時點出咗生產商為旗下電腦預裝嘅管理軟件,好多時都會擁有非常高嘅內核執行權限,如果管理不善,好容易製造漏洞俾黑客利用,用家真係無得防備㗎。

資料來源:https://bit.ly/2WLBYe7