Asus, Acer, Dell, HP und Lenovo liefern Rechner mit unsicherer Bloatware aus

Duo Labs hat die von führenden PC-Herstellern vorinstallierte Software untersucht und ist dabei auf gravierende Sicherheitslücken gestoßen. Die Sicherheitsfirma fand in der so genannten Bloatware jeweils mindestens eine mit hohem Risiko verbundene Schwachstelle. Anlass ihrer Untersuchung waren im letzten Jahr enthüllte Gefährdungen durch eDellRoot sowie die von Lenovo installierte Adware Superfish.

„Out-of-Box Exploitation“ (PDF) bezieht sich als Titel der Studie auf die erste Erfahrung von Käufern, wenn sie einen Windows-PC ausgepackt haben und ihn zum ersten Mal starten. Die zwangsweise Begegnung mit meist unerwünschter Software zweifelhafter Qualität sei aber nicht nur ärgerlich, schreibt Sicherheitsforscher Darren Kemp von Duo Labs dazu in einem Blogeintrag: „Das Schlimmste ist, dass OEM-Software uns angreifbar macht und in unsere Privatsphäre eindringt.“

Bei Dell entstand eine kritische Schwachstelle durch den unsachgemäßen Umgang mit Zertifikaten. Lenovo fiel mit einer gravierenden Lücke auf, die die Ausführung beliebigen Codes ermöglichte – bei Acer fanden sich gleich zwei solcher Lecks. Der HP-Rechner wies neben zwei hochriskanten Schwachstellen, die Remotecodeausführung erlaubten, fünf mit niedrigem bis mittlerem Risiko auf. Bei Asus fand sich eine kritische Lücke und zusätzlich eine mittelschwere, die eine Ausweitung lokaler Berechtigungen ermöglichte.

Als das mit Abstand gefährlichste Einfallstor zeigten sich die jeweils mit installierten Update-Tools von Drittanbietern. Bei allen betrachteten Herstellern war in der Standardkonfiguration mindestens ein solches Tool vorhanden. Selbst von Microsoft als Signature-Edition-Systeme bezeichnete Rechner kamen oft in Begleitung von OEM-Tools.

„Updater sind ein offensichtliches Ziel für einen Angreifer im Netzwerk“, kommentiert Kemp. Schließlich seien zahlreiche Attacken gegen Updater und Paketverwaltungstools bekannt geworden. Gelernt hätten die OEM-Hersteller daraus jedoch nicht – daher sei es Duo Labs in allen untersuchten Fällen gelungen, die Systeme zu kompromittieren. Bei jedem der Hersteller fand sich mindestens eine Schwachstelle, die nach einer Man-in-the-Middle-Attacke (MITM) die Ausführung beliebigen Codes auf Systemebene erlaubte. „Wir würden uns gern auf die Schulter klopfen für all die großen Bugs, die wir gefunden haben“, so Kemp weiter. „Tatsache ist aber, dass es viel zu einfach ist.“

Einige Anbieter hätten überhaupt nicht versucht, ihre Updater zu härten, während es andere versuchten, aber über verschiedene Probleme bei Implementierung und Konfiguration stolperten. Zu oft hätten es die Hersteller versäumt, TLS sinnvoll zu nutzen, die Integrität von Updates gründlich zu prüfen oder die Authentizität von Update-Manifest-Inhalten sicherzustellen. Mehrfach unterließen sie das digitale Signieren ihrer Manifestlisten, in denen die Dateien bezeichnet sind, die der Updater von einem Server holen und installieren soll. Angreifer konnten sie daher manipulieren, wenn sie unsicher übertragen wurden – und somit wichtige Updates verhindern oder bösartige Dateien zur Liste hinzufügen.

Die Sicherheitsforscher haben die Hersteller im Vorfeld vertraulich über die entdeckten Sicherheitslücken informiert. Laut Duo Labs haben Acer und Asus bislang jedoch noch keine Patches bereitgestellt. Dell hat inzwischen einige Fehler stillschweigend behoben und Vorkehrungen getroffen, um die Ausnutzung anderer zu verhindern. HP soll vier von sieben berichteten Fehlern beseitigt haben. Lenovo beabsichtigt, die betroffene Software Ende Juni von seinen Systemen zu entfernen.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de