image

Windowscomputers kwetsbaar door updatesoftware fabrikant

dinsdag 31 mei 2016, 16:06 door Redactie, 7 reacties

De updatesoftware die computerfabrikanten standaard op hun computers installeren bevat allerlei kwetsbaarheden waardoor het mogelijk is om systemen met malware te infecteren en over te nemen, zo blijkt uit onderzoek (pdf) van Duo Security.

Het gaat om software van Asus, Acer, Lenovo, Dell en Hewlett Packard. De updatesoftware wordt door de fabrikanten geïnstalleerd om meegeleverde programma's, zoals bijvoorbeeld een programma dat de status van het systeem monitort, up-to-date te houden. Door verschillende beveiligings- en configuratiefouten kan een aanvaller de updatesoftware gebruiken om kwaadaardige updates aan te bieden die vervolgens door de updatesoftware worden geïnstalleerd. Op deze manier kan een aanvaller zonder interactie van een gebruiker malware op het systeem krijgen.

Zo blijkt de updatesoftware vaak geen versleutelde verbinding te gebruiken en wordt de digitale handtekening van de update niet altijd gecontroleerd. Een aanvaller die zich tussen de gebruiker en het internet bevindt kan zo een kwaadaardige update aanbieden die de updatesoftware zal accepteren. In sommige gevallen wordt het installeren van de updates ook niet aan gebruikers gemeld. De onderzoekers van Duo Security ontdekten in totaal 12 unieke beveiligingslekken, waarvan er 7 nog altijd niet zijn gepatcht door de fabrikant.

"Bloatware slaat weer toe! Over het algemeen is de software van fabrikanten een risico voor gebruikers, wat algemeen bekend is. Door fabrikanten ontwikkelde updatesoftware is geen uitzondering op deze regel", aldus de onderzoekers. Ze stellen dat de updatesoftware van nature met zeer hoge rechten draait, eenvoudig is aan te vallen en zonder al teveel problemen te reverse engineeren is. Daarnaast wordt de veiligheid van dergelijke software weinig gecontroleerd, wat de "perfecte storm" creëert voor een aanvaller die op het netwerk zit, zo merken ze op.

Schone installatie

Naast het verwijderen of uitschakelen van de updatesoftware en andere door de fabrikant geïnstalleerde programma's is er volgens de onderzoekers weinig wat gebruikers kunnen doen om zich te beschermen. Toch geven de onderzoekers verschillende adviezen. Als eerste wordt aangeraden om alle computers die over vooraf geïnstalleerde software beschikken voor het gebruik te wissen en een volledig schone versie van Windows te installeren.

Een andere oplossing is het verwijderen van de ongewenste software of om die uit te schakelen. "Meer complexiteit brengt meestal meer beveiligingslekken met zich mee", aldus de onderzoekers. Die stellen verder dat Dell, HP en Lenovo in bepaalde gevallen meer aandacht aan security besteden in vergelijking met Acer en Asus.

Image

Reacties (7)
31-05-2016, 16:19 door Illnl
Als we dan toch open deuren intrappen: Lenovo is geen surprise, gezien die al door de wereld op de vingers werden getikt vanwege een of ander crap certificate dat ze gebruikte.

OT: blijft wel schandalig dat sommige van deze vendors ook security producten leveren...
31-05-2016, 21:14 door Anoniem
Hoe zit het eigenlijk met Secunia PSI?
31-05-2016, 23:20 door Ron625
Daarom koop ik meestal een PC zonder OS, of begin ik na aankoop gelijk te formatteren..........
01-06-2016, 05:26 door Anoniem
Door Ron625: Daarom koop ik meestal een PC zonder OS, of begin ik na aankoop gelijk te formatteren..........

Dat is tegenwoordig niet meer voldoende. Een of andere idioot heeft bedacht dat het BIOS beter vervangen kan worden door EFI. De computer kan zelf contact leggen met Internet zonder besturingssysteem. Is dat niet mooi?
01-06-2016, 09:50 door Anoniem
Door Illnl: Als we dan toch open deuren intrappen: Lenovo is geen surprise, gezien die al door de wereld op de vingers werden getikt vanwege een of ander crap certificate dat ze gebruikte.

OT: blijft wel schandalig dat sommige van deze vendors ook security producten leveren...

Ben het met je eens. Vind het ook schokkend dat men het blijkbaar niet de moeite vind om hier van te leren.
01-06-2016, 10:19 door Anoniem
Veel software installers en updaters trekken ook de bestanden over http binnen. Als ze al gehashed worden kun je die in een mitm simpelwe aanpassen. Soms worden ze niet eens vergeleken. Signing begint gelukkig toe te nemen. Een ander punt is dat admin rechten nodig zijn en er vaak dll hijacking mogelijk is waardoor je dus vrij makkelijk untrusted code onder admin kan hebben draaien. Bv installatie van smb share waar dll is toegevoegd of vanuit downloads dir. Ik heb recent nog een AV gevonden waar dit mogelijk was bij de installer en main executable. Laatste draaide als system.
02-06-2016, 10:39 door Ron625 - Bijgewerkt: 02-06-2016, 10:39
Door Anoniem:Een of andere idioot heeft bedacht dat het BIOS beter vervangen kan worden door EFI. De computer kan zelf contact leggen met Internet zonder besturingssysteem. Is dat niet mooi?
Daar ben je snel achter, wanneer je PC op het netwerk actief is, zonder dat er een programma (of een OS) gestart is (uitgezonderd de boot vanaf netwerk).
Dat is een reden (voor mij), om de PC/Laptop terug te brengen voor garantie :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.