Asus, Acer, Dell, HP und Lenovo: gravierende Sicherheitslücken in vorinstallierter Software
Duo Labs entdeckte in jedem untersuchten System mindestens eine kritische Schwachstelle. Häufig erweisen sich die mitinstallierten Update-Tools von Drittanbietern als Einfallstor für Angreifer. Die Sicherheitslücken ermöglichen Man-in-the-Middle-Angriffe und im Anschluss die Ausführung von beliebigem Code.
Bei der Untersuchung der von führenden PC-Herstellern vorinstallierten Software, ist die Sicherheitsfirma Duo Labs auf schwere Sicherheitslücken gestoßen. In der als Bloatware bezeichneten Software fand die Firma jeweils mindestens eine mit hohem Risiko verbundene Anfälligkeit. Die im letzten Jahr enthüllten Gefährdungen durch eDellRoot sowie die von Lenovo installierte Adware Superfish waren Anlass für die Untersuchung.
Der Titel der Studie lautet “Out-of-Box Exploitation” (PDF), was die erste Erfahrung von Käufern beschreibt, wenn sie einen Windows-PC ausgepackt haben und ihn zum ersten Mal starten. Die dabei zwangsweise Begegnung mit häufig unerwünschter Software zweifelhafter Qualität sei dabei aber nicht nur einfach ärgerlich, schreibt Sicherheitsforscher Darren Kemp von Duo Labs dazu in einem Blogeintrag: “Das Schlimmste ist, dass OEM-Software uns angreifbar macht und in unsere Privatsphäre eindringt.”
Eine kritische Sicherheitslücke entstand bei Dell durch einen unsachgemäßen Umgang mit Zertifikaten. Bei Lenovo wurde eine schwere Lücke entdeckt, die die Ausführung beliebigen Codes erlaubte – bei Acer fielen gleich zwei derartige Anfälligkeiten auf. Der HP-Rechner wies neben zwei hochriskanten Lücken, die Remotecodeausführung möglich machten, fünf mit niedrigem bis mittlerem Risiko auf. Bei Asus fand sich eine kritische Schwachstelle und zusätzlich eine mittelschwere, die eine Ausweitung lokaler Berechtigungen erlaubte.
Die jeweils mitinstallierten Update-Tools von Drittanbietern präsentierten sich allerdings als das mit Abstand gefährlichste Einfallstor. Mindestens ein solches Tool war bei allen betrachteten Herstellern in der Standardkonfiguration vorhanden. Selbst von Microsoft als Signature-Edition-Systeme bezeichnete Rechner kamen oft in Begleitung von OEM-Tools.
“Updater sind ein offensichtliches Ziel für einen Angreifer im Netzwerk”, erklärt Kemp. Schließlich seien zahlreiche Attacken gegen Updater und Paketverwaltungstools bekannt geworden. Die OEM-Hersteller hätten daraus aber nicht gelernt – daher sei es Duo Labs in allen untersuchten Fällen gelungen, die Systeme zu kompromittieren. Bei jedem der Hersteller fand sich mindestens eine Schwachstelle, die nach einer Man-in-the-Middle-Attacke (MITM) die Ausführung beliebigen Codes auf Systemebene erlaubte. “Wir würden uns gern auf die Schulter klopfen für all die großen Bugs, die wir gefunden haben”, so Kemp weiter. “Tatsache ist aber, dass es viel zu einfach ist.”
Einige der Hersteller hätten gar nicht erst versucht, ihre Updater zu härten, während es andere Anbieter probierten, aber über verschiedene Probleme bei Implementierung und Konfiguration stolperten. Die Hersteller hätten es zu oft versäumt, TLS sinnvoll zu nutzen, die Integrität von Updates gründlich zu prüfen oder die Authentizität von Update-Manifest-Inhalten sicherzustellen. Mehrfach unterließen sie das digitale Signieren ihrer Manifestlisten, in denen die Dateien bezeichnet sind, die der Updater von einem Server holen und installieren soll. Angreifer hatten daher die Möglichkeit, sie zu manipulieren, wenn sie unsicher übertragen wurden – und somit wichtige Updates verhindern oder bösartige Dateien zur Liste hinzufügen.
Die Hersteller wurden von den Sicherheitsforschern im Vorfeld vertraulich über die entdeckten Schwachstellen informiert. Duo Labs zufolge haben Acer und Asus bisher jedoch noch keine Patches verfügbar gemacht. Dell hat inzwischen einige Schwachstellen stillschweigend beseitigt und Vorkehrungen getroffen, um die Ausnutzung anderer Anfälligkeiten zu verhindern. HP soll inzwischen vier von sieben berichteten Lücken beseitigt haben. Lenovo will wohl die betroffene Software Ende Juni von seinen Systemen entfernen.
Bereits im Dezember berichtete der unabhängige Sicherheitsforscher “slipstream/RoL”, dass Dell, Lenovo und Toshiba Rechner mit sogenannter Bloatware, also mit Programme die für den Betrieb des Gerätes nicht nötig sind, ausliefern, die verschiedene Sicherheitslecks aufweisen. Die drei Hersteller lieferten die die fraglichen Tools, die bei Support-Anfragen helfen und andere vorinstallierte Systemsoftware aktualisieren sollen, mit nahezu allen Rechnern aus.
[Mit Material von Bernd Kling, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de