Unsichere Software bei PCs von Dell, Lenovo und Toshiba vorinstalliert
Über das Lenovo Solution Center konnte ein Sicherheitsforscher Schadcode einschleusen. Der Hersteller empfiehlt, die Software zumindest vorübergehend zu deinstallieren. Durch die Software Dell System Detect wird unter Umständen die Benutzerkontensteuerung ausgehebelt.
Der Sicherheitsforscher slipstream/RoL hat in Software, die auf PCs und Tablets von die Dell, Lenovo und Toshiba vorinstalliert ist, mehrere Sicherheitslücken gefunden. Die Schwachstellen erlauben es Angreifer unter Umständen, Malware einzuschleusen und mit Systemrechten auszuführen. Gegenüber ZDNet.com erklärte er, die Hersteller vor der Veröffentlichung seines Beispielcodes für Exploits nicht über die Schwachstellen informiert zu habe.
Alle drei Hersteller liefern die betroffenen Tools, die vor allem bei Support-Anfragen helfen und andere vorinstallierte Systemsoftware aktualisieren sollen, praktisch mit allen Rechnern aus. Nutzer sollten die betroffenen Anwendungen, die allesamt nicht unbedingt zum Betrieb der Rechner erforderlich sind, am besten umgehend entfernen.
Drei der von slipstream/RoL monierten Lücken im Lenovo Solution Center haben Experten der Carnegie Mellon University inzwischen nachvollziehen können. Angreifer müssen demnach Nutzer, auf deren Rechner das Lenovo Solution Center läuft, lediglich auf eine präparierte Website locken oder dazu verleiten, eine HTML-E-Mail zu öffnen. Sie können dann die Kontrolle über das System übernehmen. Allerdings reichte es der Universität zufolge aus, die Anwendung zu schließen, um den anfälligen Dienst LSCTaskService zu beenden.
Lenovo untersucht die Schwachstellen derzeit noch. “Wir werden ein Update mit den benötigten Fixes so schnell wie möglich zur Verfügung stellen”, zitiert die Carnegie Mellon University aus einer Stellungnahme des Herstellers. Bis dahin rät Lenovo Anwendern, das Solution Center “vorübergehend” zu deinstallieren.
Auf Dell-Rechnern ist die vorinstallierte Anwendung Dell System Detect dem Forscher zufolge gefährlich. Sie kann ausgenutzt werden, um wiederholt Meldungen zur Benutzerkontensteuerung einzublenden um Nutzer so dazu zu verleiten, Anwendungen Systemrechte einzuräumen. Mittels der Software Toshiba Service Station kann ein angemeldeter Benutzer mit eingeschränkten Rechten auf Teile der Windows Registry zugreifen, wofür eigentlich Systemrechte erforderlich sind. Angreifer könnten so unter anderem den Security Account Manager (SAM) und auch Bootkeys auslesen.
Dell hatte erst kürzlich Ärger wegen der Support-Software Dell System Detect, weil das Root-Zertifikat DSDTestProvider zusammen mit der Support-Software installiert wird. Dell liefert es mit dem zugehörigen privaten Schlüssel aus. Die Deinstallation des Tools ist jedoch nicht zielführend, da das Zertifikat noch auf dem Rechner verbleibt. Wie zuvor das eDellRoot-Zertifikat wird auch DSDTestProvider gemeinsam mit dem zugehörigen privaten Schlüssel im Windows Root Store installiert. Dadurch lassen sich beide nutzen, um betrügerische Zertifikate für beliebige Websites auszustellen und auch per HTTPS verschlüsselte Kommunikation zu dechiffrieren. Außerdem ist auch die Signierung von Schadsoftware möglich, um sie an Kontrollmechanismen vorbeizuschleusen.
Auch bei Lenovo ist es nicht das erste Mal, dass vorinstallierte Software unerwünschte Nebenwirkungen hat. Im August kam heraus, dass die Lenovo Service Engine im BIOS eine Windows-System-Datei überschreibt. So war der Hersteller in der Lage, seine Software ohne Kenntnis und Einwilligung des Anwenders im Nachhinein aufzuspielen. Auch eine Neuinstallation von Windows änderte daran nichts. Lenovo hat das nach Kritik von außen dann sogar selbst als Sicherheitsrisiko eingestuft.
[mit Material von Stefan Beiersmann, ZDNet.de]