Schwere Sicherheitslücken in vorinstallierter Software bei Asus, Acer, Dell, HP und Lenovo

Sicherheit
(Bild: Shutterstock.com/wk1003mike)

Die Sicherheitsforscher von Duo Labs entdeckten in jedem untersuchten System mindestens eine kritische Schwachstelle. Die mitinstallierten Update-Tools von Drittanbietern dienen Angreifer häufig als Einfallstor. Die Lücken ermöglichen Man-in-the-Middle-Angriffe und erlauben anschließend die Ausführung von beliebigem Code.

Das Sicherheitsunternehmen Duo Labs hat jetzt im Rahmen einer Untersuchung vorinstallierter Software bei führenden PC-Herstellern massive Schwachstellen entdeckt. In der sogennanten Bloatware fand die Firma jeweils mindestens eine mit hohem Risiko verbundene Sicherheitslücke. Die im vergangenen Jahr enthüllten Gefährdungen durch eDellRoot und die von Lenovo installierte Adware Superfish waren Anlass für die Untersuchung.

(Bild: Shutterstock)
(Bild: Shutterstock)

Die Studie von Duo Labs trägt den Titel “Out-of-Box Exploitation” (PDF), was die erste Erfahrung von Käufern beschreibt, wenn sie einen Windows-PC ausgepackt haben und ihn zum ersten Mal starten. Die dabei zwangsläufige Konfrontation mit oft unerwünschter Software zweifelhafter Qualität sei dabei aber nicht nur einfach ärgerlich, wie Sicherheitsforscher Darren Kemp von Duo Labs in einem Blogeintrag schreibt: “Das Schlimmste ist, dass OEM-Software uns angreifbar macht und in unsere Privatsphäre eindringt.”

Eine kritische Anfälligkeit entstand bei Dell durch einen unsachgemäßen Umgang mit Zertifikaten. Bei Lenovo wurde eine massive Schwachstelle entdeckt, die die Ausführung beliebigen Codes erlaubte – bei Acer fielen gleich zwei derartige Sicherheitslücken auf. Der HP-Rechner wies neben zwei hochriskanten Lücken, die Remotecodeausführung möglich machten, fünf mit niedrigem bis mittlerem Risiko auf. Bei Asus wurde eine kritische Schwachstelle und außerdem eine mittelschwere, die eine Ausweitung lokaler Berechtigungen erlaubte, entdeckt.

Die jeweils mitinstallierten Update-Tools von Drittanbietern entpuppten sich jedoch als das mit Abstand gefährlichste Einfallstor. Bei allen betrachteten Herstellern existierte mindestens ein solches Tool in der Standardkonfiguration. Selbst von Microsoft als Signature-Edition-Systeme bezeichnete Rechner kamen oft in Begleitung von OEM-Tools.

Updater der OEM-Hersteller und ihre Features (Tabelle: Duo Labs)
Updater der OEM-Hersteller und ihre Features (Tabelle: Duo Labs)

“Updater sind ein offensichtliches Ziel für einen Angreifer im Netzwerk”, so Kemp. Schließlich seien zahlreiche Attacken gegen Updater und Paketverwaltungstools bekannt geworden. Die OEM-Hersteller hätten daraus aber keine Konsequenzen gezogen – daher sei es Duo Labs in allen untersuchten Fällen gelungen, die Systeme zu kompromittieren. So fand sich bei jedem der Hersteller mindestens eine Schwachstelle, die nach einer Man-in-the-Middle-Attacke (MITM) die Ausführung beliebigen Codes auf Systemebene erlaubte. “Wir würden uns gern auf die Schulter klopfen für all die großen Bugs, die wir gefunden haben”, erklärt Kemp weiter. “Tatsache ist aber, dass es viel zu einfach ist.”

Einige der Hersteller hätten gar nicht erst versucht, ihre Updater zu härten, während es andere Anbieter probierten, aber über verschiedene Probleme bei Implementierung und Konfiguration stolperten. Zu oft hätten es die Hersteller versäumt, TLS sinnvoll zu nutzen, die Integrität von Updates gründlich zu prüfen oder die Authentizität von Update-Manifest-Inhalten sicherzustellen. Sie unterließen mehrfach das digitale Signieren ihrer Manifestlisten, in denen die Dateien bezeichnet sind, die der Updater von einem Server holen und installieren soll. Angreifer hatten daher die Möglichkeit, sie zu manipulieren, wenn sie unsicher übertragen wurden – und somit wichtige Updates verhindern oder bösartige Dateien zur Liste hinzufügen.

Die Hersteller wurden von den Sicherheitsforschern im Vorfeld vertraulich über die entdeckten Anfälligkeiten in Kenntnis gesetzt. Duo Labs zufolge haben Acer und Asus bisher jedoch noch keine Patches verfügbar gemacht. Dell hat zwischenzeitlich einige Schwachstellen ohne großes Aufsehen beseitigt und Vorkehrungen getroffen, um die Ausnutzung anderer Anfälligkeiten zu verhindern. HP soll inzwischen vier von sieben berichteten Lücken beseitigt haben. Lenovo will wohl die betroffene Software Ende Juni von seinen Systemen entfernen.

Bereits im Dezember berichtete der unabhängige Sicherheitsforscher “slipstream/RoL”, dass Dell, Lenovo und Toshiba Rechner mit sogenannter Bloatware, also mit Programme die für den Betrieb des Gerätes nicht nötig sind, ausliefern, die verschiedene Sicherheitslecks aufweisen. Die drei Hersteller lieferten die die fraglichen Tools, die bei Support-Anfragen helfen und andere vorinstallierte Systemsoftware aktualisieren sollen, mit nahezu allen Rechnern aus.

[Mit Material von Bernd Kling, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de