Am besten erstmal formatieren: Hersteller packen unsichere Bloatware auf PCs

(Bild: Shutterstock)

Asus, Acer, Dell, HP und Lenovo sollen Rechner mit vorinstallierte Software ausliefern, die böse Sicherheitslücken beinhaltet und die Rechner kompromittieren kann. Wer kann, sollte seinen neuen Rechner deshalb komplett neu aufsetzen.

Die Sicherheitsfirma Duolabs hat neue Rechner untersucht, die direkt vom Hersteller stammen und mit Zusatz-Software ausgerüstet sind. Sie fanden erschreckende Sicherheitslücken.

„Out-of-Box Exploitation“ (PDF) bezieht sich als Titel der Studie auf die erste Erfahrung von Käufern, wenn sie einen Windows-PC ausgepackt haben und ihn zum ersten Mal starten. Die zwangsweise Begegnung mit meist unerwünschter Software zweifelhafter Qualität sei aber nicht nur ärgerlich, schreibt Sicherheitsforscher Darren Kemp von Duo Labs dazu in einem Blogeintrag: „Das Schlimmste ist, dass OEM-Software uns angreifbar macht und in unsere Privatsphäre eindringt.“

Bei Dell entstand eine kritische Schwachstelle durch den unsachgemäßen Umgang mit Zertifikaten. Lenovo fiel mit einer gravierenden Lücke auf, die die Ausführung beliebigen Codes ermöglichte – bei Acer fanden sich gleich zwei solcher Lecks. Der HP-Rechner wies neben zwei hochriskanten Schwachstellen, die Remotecodeausführung erlaubten, fünf mit niedrigem bis mittlerem Risiko auf. Bei Asus fand sich eine kritische Lücke und zusätzlich eine mittelschwere, die eine Ausweitung lokaler Berechtigungen ermöglichte.

Als das mit Abstand gefährlichste Einfallstor zeigten sich die jeweils mit installierten Update-Tools von Drittanbietern. Bei allen betrachteten Herstellern war in der Standardkonfiguration mindestens ein solches Tool vorhanden. Selbst von Microsoft als Signature-Edition-Systeme bezeichnete Rechner kamen oft in Begleitung von OEM-Tools.

„Updater sind ein offensichtliches Ziel für einen Angreifer im Netzwerk“, kommentiert Kemp. Schließlich seien zahlreiche Attacken gegen Updater und Paketverwaltungstools bekannt geworden. Gelernt hätten die OEM-Hersteller daraus jedoch nicht – daher sei es Duo Labs in allen untersuchten Fällen gelungen, die Systeme zu kompromittieren. Bei jedem der Hersteller fand sich mindestens eine Schwachstelle, die nach einer Man-in-the-Middle-Attacke (MITM) die Ausführung beliebigen Codes auf Systemebene erlaubte. „Wir würden uns gern auf die Schulter klopfen für all die großen Bugs, die wir gefunden haben“, so Kemp weiter. „Tatsache ist aber, dass es viel zu einfach ist.“

Einige Anbieter hätten überhaupt nicht versucht, ihre Updater zu härten, während es andere versuchten, aber über verschiedene Probleme bei Implementierung und Konfiguration stolperten. Zu oft hätten es die Hersteller versäumt, TLS sinnvoll zu nutzen, die Integrität von Updates gründlich zu prüfen oder die Authentizität von Update-Manifest-Inhalten sicherzustellen. Mehrfach unterließen sie das digitale Signieren ihrer Manifestlisten, in denen die Dateien bezeichnet sind, die der Updater von einem Server holen und installieren soll. Angreifer konnten sie daher manipulieren, wenn sie unsicher übertragen wurden – und somit wichtige Updates verhindern oder bösartige Dateien zur Liste hinzufügen.
(Bild: DuoLabs)
Die Sicherheitsforscher haben die Hersteller im Vorfeld vertraulich über die entdeckten Sicherheitslücken informiert. Laut Duo Labs haben Acer und Asus bislang jedoch noch keine Patches bereitgestellt. Dell hat inzwischen einige Fehler stillschweigend behoben und Vorkehrungen getroffen, um die Ausnutzung anderer zu verhindern. HP soll vier von sieben berichteten Fehlern beseitigt haben. Lenovo beabsichtigt, die betroffene Software Ende Juni von seinen Systemen zu entfernen.

Tags :Quellen:Mit Material von Bernd Kling, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising