• IT-Karriere:
  • Services:

HP, Philips, Fujitsu: Bloatware auf Millionen Notebooks ermöglicht Codeausführung

Ein vorinstalliertes Programm auf Notebooks nahmhafter Hersteller ist ein Sicherheitsrisiko für die Benutzer. Millionen Geräte sind betroffen, es gibt einen Patch und ein Workaround.

Artikel veröffentlicht am ,
Das Tool ist gefährlicher, als es aussieht.
Das Tool ist gefährlicher, als es aussieht. (Bild: Sec Consult)

Ein unscheinbares Programm zur Verwaltung von Bildschirmeinstellungen, das auf zahlreichen Notebooks vorinstalliert ist, kann Angreifer in die Lage versetzen, Code auf dem Gerät auszuführen. Wie die Wiener Sicherheitsfirma SEC Consult schreibt, ermöglicht ein von der Firma Portrait Displays Inc erstelltes Programm, Befehle einzuschleusen und mit Systemrechten auszuführen. Der Hersteller hat das Problem behoben.

Stellenmarkt
  1. BSH Hausgeräte GmbH, Traunreut
  2. MDK Baden-Württemberg Medizinischer Dienst der Krankenversicherung, Stuttgart

Nutzer sehen dabei nicht den eigentlichen Titel des Programms - dieses wird vom jeweiligen Hersteller gebrandet. Bei Fujitsu etwa heißt es "DisplayView Click". Auch wenn das Programm grundsätzlich sinnvolle Funktionen ermöglicht, bezeichnet Sec Consult die Software als Bloatware, also als ein vorinstalliertes, meist ungewollt installiertes Programm.

  • Codeausführung mit Systemrechten (Bild: Sec Consult)
  • Das Programm ist jeweils vom Hersteller gebrandet (Bild: Sec Consult)
  • Der Dateipfad wird verändert (Bild: Sec Consult)
  • Der Angreifer stoppt den Dienst... (Bild: Sec Consult)
  • Die Berechtigungen werden ausgelesen (Bild: Sec Consult)
  • Am Ende wartet die Kommandozeile auf Eingaben (Bild: Sec Consult)
Codeausführung mit Systemrechten (Bild: Sec Consult)

Um die Sicherheitslücke auszunutzen, müssen zunächst einige Parameter über den Windows-Befehl "sc" ausgelesen werden. Werden die erhaltenen Werte von der "Security Descriptor Definition Language" in von Menschen lesbare Befehle übersetzt, zeigt sich, dass alle bei Windows authentifizierten Benutzer Schreibzugriff auf die Applikation haben. Um Code auszuführen, muss der Binärpfad der Datei geändert werden, vom gewählten Ort kann dann beliebiger Code über den Dienst PDI-Service ausgeführt werden. Da dieser Dienst auf dem System-Berechtigungslevel arbeitet, können die dem eigentlichen Nutzer zur Verfügung stehenden Berechtigungen erweitert werden (Privilege Escalation).

Exploit ist nicht sehr kompliziert

Zunächst muss der Dienst vom Angreifer gestoppt werden, dann wird der Pfad auf die Kommandozeileneingabe von Windows umgestellt. Hier kann dann beliebiger Code ausgeführt werden. Nach Angaben von Sec Consult können etwa neue Benutzer angelegt oder deren Gruppenzugehörigkeit verändert werden.

Die Sicherheitsfirma kritisiert, dass Hersteller häufig gedankenlos Software von Drittanbietern einkaufen, ohne diese gründlich auf mögliche Schwachstellen hin zu überprüfen. Immerhin hat der Hersteller der Software wohl schnell auf die Fehlermeldungen reagiert und gepatchte Versionen zur Verfügung gestellt. Wer das Update aus Gründen derzeit nicht einspielen kann, kann die Berechtigungen der App mit dem Befehl: "sc sdset pdiservice D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA) (A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)" selbst ändern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 4,99€
  2. 4,32€
  3. 2,49€
  4. 52,99€

FreiGeistler 26. Apr 2017

In einem demokratischen Rechtsstaat sollte das ja nicht so das Problem sein...

foho 26. Apr 2017

bei uns läuft es eigentlich genauso, gekaufte geräte werden genullt und ein basisimage...

Bouncy 25. Apr 2017

Sicherheitsbeschreibungen für Dienste setzen, analog zu den ACLs der Dateien, quasi...

ldlx 25. Apr 2017

Meiner Meinung nach ist das kein Exploit der Anwendung, sondern des Installers - wer gibt...


Folgen Sie uns
       


Eigene Deep Fakes mit DeepFaceLab - Tutorial

Wir zeigen im Video, wie man mit DeepFaceLab arbeitet.

Eigene Deep Fakes mit DeepFaceLab - Tutorial Video aufrufen
Cloud Gaming im Test: Leise ruckelt der Stream
Cloud Gaming im Test
Leise ruckelt der Stream

Kurz vor Weihnachten werben Dienste wie Google Stadia und Playstation Now um Kunden - mit noch nicht ganz perfekter Technik. Golem.de hat Cloud Gaming bei mehreren Anbietern ausprobiert und stellt Geschäftsmodelle und Besonderheiten vor.
Von Peter Steinlechner

  1. Microsoft Xbox Scarlett streamt möglicherweise schon beim Download
  2. Apple und Google Die wollen nicht nur spielen
  3. Medienbericht Twitch plant Spielestreaming ab 2020

Mobile-Games-Auslese: Märchen-Diablo für Mobile-Geräte
Mobile-Games-Auslese
Märchen-Diablo für Mobile-Geräte

"Einarmiger Schmied" als Klasse? Diablo bietet das nicht - das wunderschöne Yaga schon. Auch sonst finden sich in der neuen Mobile-Games-Auslese viele spannende und originelle Perlen.
Von Rainer Sigl

  1. Mobile-Games-Auslese Fantasypixel und Verkehrsplanung für unterwegs
  2. Mobile-Games-Auslese Superheld und Schlapphutträger zu Besuch im Smartphone
  3. Mobile-Games-Auslese Verdrehte Räume und verrückte Zombies für unterwegs

Radeon RX 5500 OEM (4GB) im Test: AMDs beste 200-Euro-Karte seit Jahren
Radeon RX 5500 OEM (4GB) im Test
AMDs beste 200-Euro-Karte seit Jahren

Mit der Radeon RX 5500 hat AMD endlich wieder eine sparsame und moderne Mittelklasse-Grafikkarte im Angebot. Verglichen mit Nvidias Geforce GTX 1650 Super reicht es zum Patt - aber nicht in allen Bereichen.
Ein Test von Marc Sauter

  1. Workstation-Grafikkarte AMDs Radeon Pro W5700 hat USB-C-Anschluss
  2. Navi-Grafikeinheit Apple bekommt Vollausbau und AMD bringt RX 5300M
  3. Navi-14-Grafikkarte AMD stellt Radeon RX 5500 vor

    •  /