未修补的富士通无线键盘错误允许按键注入

流行的富士通无线键盘容易受到击键注入攻击，这可能使对手能够控制受害者的系统。

德国SySS的研究人员周五报道称，高严重性漏洞允许攻击者将150英尺外的无线击键发送到运行富士通无线键盘套装LX901的计算机系统。

研究员Matthias Deeg与SySS表示，“利用击键注入漏洞也可以攻击具有主动屏幕锁定的计算机系统。 例如，在目标系统当前未使用且无人值守时安装恶意软件。“

Deeg告诉Threatpost，他联系了富士通，但目前“还没有意识到所描述的安全问题的解决方案。”富士通没有回应多个请求对Threatpost漏洞发表评论的请求。 该漏洞没有CVE编号，但Deeg告诉Threatpost，他估计它的CVSS评分为8.8，这使其成为严重程度较高的漏洞。

富士通无线键盘套装LX901是一款支持Windows操作系统的无线桌面套装，由鼠标和键盘组成。

富士通无线键盘使用射频将键击发送到桌面。 这些击键通过AES加密（用于加密的高级加密标准）数据包专门传输，使用赛普拉斯半导体的2.4 GHz范围收发器（专门称为CYRF6936）。

然而，无线桌面的接收器（其接收所发送的击键数据分组）处理未加密的数据分组以及那些加密的数据分组。

由于数据通信的这种不安全的实现，无线键盘LX901容易受到击键注入攻击。 为了进行这样的攻击，攻击者需要将具有正确分组格式的未加密数据分组发送到接收器。

无线键盘套装LX901

“因此，攻击者能够向受害者的计算机系统发送任意击键，”研究人员说。 “通过这种方式，攻击者可以远程控制使用受影响的Fujitsu LX901无线桌面设备操作的受害者计算机。”

为了实施这种攻击，攻击者需要在距离解锁且无人值守的目标计算机大约150英尺的2.4GHz无线范围内。 发送到无线键盘的未加密数据包也必须具有Cypress Semiconductor 的 CY4672 PRoC LP参考设计套件中描述的正确数据包格式 - 这意味着攻击者需要使用另一个基于CYRF6936的收发器来发送未加密的数据包。

“真实世界的攻击场景的第一步将是侦察，”Deeg告诉Threatpost。 “攻击者会做一些'战争驾驶/步行'，并寻找符合富士通无线键盘的正确协议的2.4 GHz无线电通信，以便找到正确的SOP（分组开始代码）和使用的频道（无线电频率）这些设备。“

在最糟糕的情况下，攻击者可以使用击键注入攻击以及先前在键盘中发现的重放攻击来解锁活动屏幕锁定，并在无人值守的情况下将恶意软件安装到目标系统上。

重放攻击是一种网络攻击形式，其中有效的数据传输被恶意或欺骗性地重复或延迟。 Deeg在2016年发现了重播攻击。富士通没有对这个bug进行修补，并说，“正如我们已经指出的那样，我们认为由于使用的无线电协议，所描述的场景在实际条件下并不容易执行。”

在一段视频中，研究人员展示了PoC硬件设备如何通过RF通信注入未加密的击键。

视频中使用的PoC设备是一个公共可用的4合1无线模块 ，具有专门开发的固件，使用CYRF6936 WirelessUSB LP 2.4 GHz无线SoC。

研究人员报告了2018年10月16日富士通的漏洞; 在2018年10月22日，富士通确认收到了安全公告。

自2016年Mousejack漏洞引发人们对无线鼠标或键盘对企业带来的潜在风险的认识以来，击键注入攻击引起了人们的关注。 在2018年4 月，微软修补了无线键盘850安全功能绕过漏洞（ CVE-2018-8117 ）; 虽然在2018年12月罗技修补了一个错误可能允许对手对使用其应用程序的罗技键盘所有者发起击键注入攻击 。