Categories: Sicherheit

Asus, Acer, Dell, HP und Lenovo: gravierende Sicherheitslücken in vorinstallierter Software

Bei der Untersuchung der von führenden PC-Herstellern vorinstallierten Software, ist die Sicherheitsfirma Duo Labs auf schwere Sicherheitslücken gestoßen. In der als Bloatware bezeichneten Software fand die Firma jeweils mindestens eine mit hohem Risiko verbundene Anfälligkeit. Die im letzten Jahr enthüllten Gefährdungen durch eDellRoot sowie die von Lenovo installierte Adware Superfish waren Anlass für die Untersuchung.

Hacker (Bild: Shutterstock)

Der Titel der Studie lautet “Out-of-Box Exploitation” (PDF), was die erste Erfahrung von Käufern beschreibt, wenn sie einen Windows-PC ausgepackt haben und ihn zum ersten Mal starten. Die dabei zwangsweise Begegnung mit häufig unerwünschter Software zweifelhafter Qualität sei dabei aber nicht nur einfach ärgerlich, schreibt Sicherheitsforscher Darren Kemp von Duo Labs dazu in einem Blogeintrag: “Das Schlimmste ist, dass OEM-Software uns angreifbar macht und in unsere Privatsphäre eindringt.”

Eine kritische Sicherheitslücke entstand bei Dell durch einen unsachgemäßen Umgang mit Zertifikaten. Bei Lenovo wurde eine schwere Lücke entdeckt, die die Ausführung beliebigen Codes erlaubte – bei Acer fielen gleich zwei derartige Anfälligkeiten auf. Der HP-Rechner wies neben zwei hochriskanten Lücken, die Remotecodeausführung möglich machten, fünf mit niedrigem bis mittlerem Risiko auf. Bei Asus fand sich eine kritische Schwachstelle und zusätzlich eine mittelschwere, die eine Ausweitung lokaler Berechtigungen erlaubte.

Die jeweils mitinstallierten Update-Tools von Drittanbietern präsentierten sich allerdings als das mit Abstand gefährlichste Einfallstor. Mindestens ein solches Tool war bei allen betrachteten Herstellern in der Standardkonfiguration vorhanden. Selbst von Microsoft als Signature-Edition-Systeme bezeichnete Rechner kamen oft in Begleitung von OEM-Tools.

Updater der OEM-Hersteller und ihre Features (Tabelle: Duo Labs)

“Updater sind ein offensichtliches Ziel für einen Angreifer im Netzwerk”, erklärt Kemp. Schließlich seien zahlreiche Attacken gegen Updater und Paketverwaltungstools bekannt geworden. Die OEM-Hersteller hätten daraus aber nicht gelernt – daher sei es Duo Labs in allen untersuchten Fällen gelungen, die Systeme zu kompromittieren. Bei jedem der Hersteller fand sich mindestens eine Schwachstelle, die nach einer Man-in-the-Middle-Attacke (MITM) die Ausführung beliebigen Codes auf Systemebene erlaubte. “Wir würden uns gern auf die Schulter klopfen für all die großen Bugs, die wir gefunden haben”, so Kemp weiter. “Tatsache ist aber, dass es viel zu einfach ist.”

Einige der Hersteller hätten gar nicht erst versucht, ihre Updater zu härten, während es andere Anbieter probierten, aber über verschiedene Probleme bei Implementierung und Konfiguration stolperten. Die Hersteller hätten es zu oft versäumt, TLS sinnvoll zu nutzen, die Integrität von Updates gründlich zu prüfen oder die Authentizität von Update-Manifest-Inhalten sicherzustellen. Mehrfach unterließen sie das digitale Signieren ihrer Manifestlisten, in denen die Dateien bezeichnet sind, die der Updater von einem Server holen und installieren soll. Angreifer hatten daher die Möglichkeit, sie zu manipulieren, wenn sie unsicher übertragen wurden – und somit wichtige Updates verhindern oder bösartige Dateien zur Liste hinzufügen.

Die Hersteller wurden von den Sicherheitsforschern im Vorfeld vertraulich über die entdeckten Schwachstellen informiert. Duo Labs zufolge haben Acer und Asus bisher jedoch noch keine Patches verfügbar gemacht. Dell hat inzwischen einige Schwachstellen stillschweigend beseitigt und Vorkehrungen getroffen, um die Ausnutzung anderer Anfälligkeiten zu verhindern. HP soll inzwischen vier von sieben berichteten Lücken beseitigt haben. Lenovo will wohl die betroffene Software Ende Juni von seinen Systemen entfernen.

Bereits im Dezember berichtete der unabhängige Sicherheitsforscher “slipstream/RoL”, dass Dell, Lenovo und Toshiba Rechner mit sogenannter Bloatware, also mit Programme die für den Betrieb des Gerätes nicht nötig sind, ausliefern, die verschiedene Sicherheitslecks aufweisen. Die drei Hersteller lieferten die die fraglichen Tools, die bei Support-Anfragen helfen und andere vorinstallierte Systemsoftware aktualisieren sollen, mit nahezu allen Rechnern aus.

[Mit Material von Bernd Kling, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Redaktion

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

23 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

1 Tag ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

2 Tagen ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

2 Tagen ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

2 Tagen ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

3 Tagen ago