Categories: Cybersicherheit

Asus, Acer, Dell, HP und Lenovo: gravierende Sicherheitslücken in vorinstallierter Software

Bei der Untersuchung der von führenden PC-Herstellern vorinstallierten Software, ist die Sicherheitsfirma Duo Labs auf schwere Sicherheitslücken gestoßen. In der als Bloatware bezeichneten Software fand die Firma jeweils mindestens eine mit hohem Risiko verbundene Anfälligkeit. Die im letzten Jahr enthüllten Gefährdungen durch eDellRoot sowie die von Lenovo installierte Adware Superfish waren Anlass für die Untersuchung.

Hacker (Bild: Shutterstock)

Der Titel der Studie lautet “Out-of-Box Exploitation” (PDF), was die erste Erfahrung von Käufern beschreibt, wenn sie einen Windows-PC ausgepackt haben und ihn zum ersten Mal starten. Die dabei zwangsweise Begegnung mit häufig unerwünschter Software zweifelhafter Qualität sei dabei aber nicht nur einfach ärgerlich, schreibt Sicherheitsforscher Darren Kemp von Duo Labs dazu in einem Blogeintrag: “Das Schlimmste ist, dass OEM-Software uns angreifbar macht und in unsere Privatsphäre eindringt.”

Eine kritische Sicherheitslücke entstand bei Dell durch einen unsachgemäßen Umgang mit Zertifikaten. Bei Lenovo wurde eine schwere Lücke entdeckt, die die Ausführung beliebigen Codes erlaubte – bei Acer fielen gleich zwei derartige Anfälligkeiten auf. Der HP-Rechner wies neben zwei hochriskanten Lücken, die Remotecodeausführung möglich machten, fünf mit niedrigem bis mittlerem Risiko auf. Bei Asus fand sich eine kritische Schwachstelle und zusätzlich eine mittelschwere, die eine Ausweitung lokaler Berechtigungen erlaubte.

Die jeweils mitinstallierten Update-Tools von Drittanbietern präsentierten sich allerdings als das mit Abstand gefährlichste Einfallstor. Mindestens ein solches Tool war bei allen betrachteten Herstellern in der Standardkonfiguration vorhanden. Selbst von Microsoft als Signature-Edition-Systeme bezeichnete Rechner kamen oft in Begleitung von OEM-Tools.

Updater der OEM-Hersteller und ihre Features (Tabelle: Duo Labs)

“Updater sind ein offensichtliches Ziel für einen Angreifer im Netzwerk”, erklärt Kemp. Schließlich seien zahlreiche Attacken gegen Updater und Paketverwaltungstools bekannt geworden. Die OEM-Hersteller hätten daraus aber nicht gelernt – daher sei es Duo Labs in allen untersuchten Fällen gelungen, die Systeme zu kompromittieren. Bei jedem der Hersteller fand sich mindestens eine Schwachstelle, die nach einer Man-in-the-Middle-Attacke (MITM) die Ausführung beliebigen Codes auf Systemebene erlaubte. “Wir würden uns gern auf die Schulter klopfen für all die großen Bugs, die wir gefunden haben”, so Kemp weiter. “Tatsache ist aber, dass es viel zu einfach ist.”

Einige der Hersteller hätten gar nicht erst versucht, ihre Updater zu härten, während es andere Anbieter probierten, aber über verschiedene Probleme bei Implementierung und Konfiguration stolperten. Die Hersteller hätten es zu oft versäumt, TLS sinnvoll zu nutzen, die Integrität von Updates gründlich zu prüfen oder die Authentizität von Update-Manifest-Inhalten sicherzustellen. Mehrfach unterließen sie das digitale Signieren ihrer Manifestlisten, in denen die Dateien bezeichnet sind, die der Updater von einem Server holen und installieren soll. Angreifer hatten daher die Möglichkeit, sie zu manipulieren, wenn sie unsicher übertragen wurden – und somit wichtige Updates verhindern oder bösartige Dateien zur Liste hinzufügen.

Die Hersteller wurden von den Sicherheitsforschern im Vorfeld vertraulich über die entdeckten Schwachstellen informiert. Duo Labs zufolge haben Acer und Asus bisher jedoch noch keine Patches verfügbar gemacht. Dell hat inzwischen einige Schwachstellen stillschweigend beseitigt und Vorkehrungen getroffen, um die Ausnutzung anderer Anfälligkeiten zu verhindern. HP soll inzwischen vier von sieben berichteten Lücken beseitigt haben. Lenovo will wohl die betroffene Software Ende Juni von seinen Systemen entfernen.

Bereits im Dezember berichtete der unabhängige Sicherheitsforscher “slipstream/RoL”, dass Dell, Lenovo und Toshiba Rechner mit sogenannter Bloatware, also mit Programme die für den Betrieb des Gerätes nicht nötig sind, ausliefern, die verschiedene Sicherheitslecks aufweisen. Die drei Hersteller lieferten die die fraglichen Tools, die bei Support-Anfragen helfen und andere vorinstallierte Systemsoftware aktualisieren sollen, mit nahezu allen Rechnern aus.

[Mit Material von Bernd Kling, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Redaktion

Recent Posts

Weltweiter IT-Ausfall: Angriff ist die beste Verteidigung

Kommentare von IT- und Security-Experten zur Update-Panne bei CrowdStrike.

2 Stunden ago

KI & Microsoft Copilot: Höhenflug oder Bruchlandung?

Zukünftig setzt der staatliche Glücksspielanbieter auf Microsoft Dynamics 365 Business Central.

6 Stunden ago

Automatisierung im Personalwesen: So revolutioniert Digitaltechnik die Lohn- und Gehaltsabrechnung

Die Digitalisierung hat die Art und Weise, wie Aufgaben erledigt werden, in vielen Bereichen stark…

7 Stunden ago

Europas RZ-Kapazität wächst bis 2027 um ein Fünftel

Laut Immobilienmarktbeobachter Savills entspricht dieser Ausbau dem jährlichen Energiebedarf von mehr als einer halben Million…

2 Tagen ago

Gartner: 2024 steigen die IT-Ausgaben weltweit um 7,5 Prozent

Den stärksten Anstieg im Vergleich zu 2023 zeigen Systeme für Rechenzentren und Software.

2 Tagen ago

LLM-Benchmark für CRM

Laut Salesforce soll der LLM-Benchmark Unternehmen die Bewertung von generativen KI-Modellen für Geschäftsanwendungen ermöglichen.

2 Tagen ago