Supportfunksjonene i pc-er fra Dell, Lenovo og Toshiba åpner for misbruk og angrep, ifølge sikkerhetsgruppa Lizard HQ. (Foto: WBP)

Lizard HQ

Innebygd risiko i pc-er fra Dell, Lenovo og Toshiba

Pre-installert programvare med kritisk sårbarhet. Kan true millioner av brukere.

Sårbarheter, flere av dem kritiske, er påvist i programvare som følger med Windows-baserte pc-er og nettbrett fra Dell, Lenovo og Toshiba.

Enkelte medier har rapportert at dette er sårbarheter i såkalt bloatware, typisk kjent som tredjeparts programvare av begrenset nytteverdi, som pc-leverandører for betalt for å inkludere.

Det korrekte er at sårbarhetene ligger i Dell, Lenovo og Toshiba sine respektive supportfunksjoner. Det er sikkerhetsgruppa og hackerkollektivet Lizard HQ som har avdekket dette den siste uken.

Lizard HQ beskriver seg selv som en tenketank bestående av sikkerhetsforskere og aktivister, etablert for to år siden av tidligere medlemmer av hacktivistgruppa Lulz Security.

Funnene er beskrevet i tur og orden av en person med hackerpseudonymet Slipstream/RoL.

Gruppa har utgitt konseptkode for angrep som utnytter sårbarhetene. De har også valgt å presentere dette i form av en god, gammeldags «intro» med scrolltext og det hele.

Dell – nytt kritisk hull

På enheter fra Dell skal sårbarheten ligge i Dell System Detect (DSD) versjon 6.12.0.1 og eldre. Dette er en applikasjon ment å kommunisere med Dell slik at de kan «tilby deg en bedre og mer tilpasset kundestøtte».

Merk at dette er det samme programmet hvor det nylig ble avdekket også et farlig rotsertifikat.

DSD-applikasjonen starter en http-tjeneste lokalt som lytter på port 8883, 8884, 8885 eller 8886. API-ene denne eksponerer kan misbrukes av angripere til å omgå User Account Control (UAC)-funksjonaliteten i Windows på flere måter.

Ved å utnytte dette kan en angriper etter alt å dømme installere skadevare på pc-en med administrative rettigheter, uten at ofrene blir advart av UAC . Ifølge dette innlegget hjelper det ikke å avinstallere DSD alene. Rådet som gis er derfor at man svartelister «DellSystemDetect.exe».

Selv om dette er gjort så gjenstår de farlige rotserifikatene som tidligere er avdekket. Dell har beskrevet en relativt innviklet metode for å fjerne også disse.

Se også: Har funnet enda et farlig rotsertifikat fra Dell

Toshiba

Her skal sårbarheten ligge i Toshiba Service Station, som ifølge selskapet er en støttefunksjon for å kunne motta automatiske oppdateringer og andre varsler fra Toshiba knyttet til pc-en og installert programvare. Versjon 2.6.14 og eldre er sårbar, ifølge dette innlegget.

Forholdet fremstår som mindre alvorlig enn det nevnte Dell-hullet, men utnyttelse kan gi en lokal bruker med begrensede rettigheter systemprivilegier, for deretter å kunne lese «deler av» Windows-registeret.

Her skal det være tilstrekkelig å avinstallere Toshiba Service Station.

Lenovo

Lenovo Solution Center er en pre-installert applikasjon ment for å identifisere systemets «helsetilstand», nettverkstilkoblinger og sikkerheten generelt.

I versjon 3.1.004 og eldre kan programmet misbrukes til å skaffe en lokal bruker utvidede systemprivilegier, samt kjøre vilkårlig kode med dette, men det krever at Lenovo Solution Center er startet av brukeren først, opplyser Slipstream/RoL i dette innlegget. Også her skal det være tilstrekkelig å avinstallere det berørte supportprogrammet.

Ifølge et varsel fra Computer Emergency Response-teamet ved Carnegie Mellon University er det tre sårbarheter i Lenovo-produktet.

Dersom brukeren har startet Lenovo Solution Center minst én gang, så kan en angriper utnytte disse sårbarhetene med ondsinnede script via en nettside, for deretter å kjøre vilkårlig kode på ofrenes pc uten deres viten, opplyser de.

Så sent som i dag er rådet fra Lenovo å avinstallere programmet.

Les gjerne: Conficker-ormen slår til igjen

Til toppen