Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

News

Windows-Notebooks: Gefährliche Sicherheitslücken in vorinstallierter Hersteller-Software

(Bild: Asus)

Windows-Rechner aller großen Hersteller haben sie an Bord: „Testversionen“ diverser Softwareanbieter, auch als Bloatware bekannt, und angepasste Update-Programme, mit denen OEMs mehr Kontrolle über die Software-Updates behalten können. Ein Sicherheitsbericht des US-Startups Duo Security zeigt auf, wie sehr Hersteller ihre Kunden damit nicht nur nerven, sondern auch gefährden.

Rechnersicherheit: Hersteller geben sich offenbar kaum Mühe

Große Computerhersteller wie Asus, Acer, HP, Dell und Lenovo liefern ihre Notebooks und Desktops mit eigener Software zusätzlich zur Windows-Installation aus. Beim ersten Start des neuen Rechners werden Nutzer fast immer mit dem Angebot, eine 30-Tage-Testversion eines Antivirenprogramms auszuprobieren, und anderen Anwendungen konfrontiert – Hersteller bezeichnen diesen Prozess als „Out-of-Box-Experience“ (OOBE). Nicht selten ärgern sich Nutzer über den Aufwand, den sie in den Startprozess investieren müssen – und den großen Batzen an Bloatware, den Hersteller auf ihre Geräte packen und sie damit unnötig „zumüllen“. Wie Duo Security herausgefunden hat, sind die Anwendungen nicht nur ein Zeit- und Speicherfresser, sondern nicht selten in hohem Grade eine große Sicherheitsgefährdung.

(Bild: Duo Security))
Hersteller von Windows-Notebooks halten offenbar nicht viel von Sicherheit.  (Bild: Duo Security)

The level of sophistication required to exploit most of the vulnerabilities we found is […] that possessed by a coffee stain on the Duo lunch room floor.

Die Sicherheitsexperten von Duo Security haben Notebooks von Acer, Asus, Dell, HP und Lenovo analysiert und dabei entdeckt, dass beispielsweise die vom Hersteller entwickelte Update-Software mit Sicherheitslücken regelrecht gespickt ist. Unter anderem ist es dadurch möglich, schadhaften Code in die Rechner einzuschleusen. Jeder der untersuchten Updater der Hersteller wies mindestens eine schwerwiegende Sicherheitslücke auf, wodurch eine willkürliche Codeausführung aus der Ferne auf Systemebene möglich war und Dritte den kompletten Rechner kompromittieren konnten. Im Hersteller-Vergleich reagierten Dell, HP und Lenovo schneller auf Sicherheitslücken als die Mitbewerber Acer und Asus.

Windows-Notebooks: Insgesamt 12 Sicherheitslücken in OEM-Software entdeckt

Wie Darren Kemp von Duo Security weiter ausführt, vernachlässigen Hersteller selbst den rudimentären Einsatz von TLS-Zertifikaten, sodass Software-Updates unverschlüsselt übertragen werden. Außerdem würde die Integrität eines Updates nicht validiert, auch die Authentizität eines Update-Manifests werde nicht überprüft. Mithilfe dieser Lücken könne laut Kemp jeder Rechner per Man-in-the-Middle-Angriff (MITM) gekapert werden. Laut Duo Security seien die Kenntnisse, einen der Rechner zu hacken, trivial.

Geräte der Windows-Signature-Edition werden ohne Bloatware ausgeliefert. (Bild: Microsoft)
Geräte der Windows-Signature-Edition werden ohne Bloatware ausgeliefert. (Bild: Microsoft)

Die Sicherheitsexpereten haben sich auch zu Windows-Signature-Edition-Geräten geäußert, die ohne Bloatware ausgeliefert werden. Das Vorgehen sei ein Schritt in die richtige Richtung, allerdings würden auch diese Geräte mit OEM-Updatern ausgerüstet, die tendenziell als unsicher gelten.

Windows-Notebook-Sicherheit: Empfehlungen an Nutzer und OEM-Hersteller

Duro Security hat in seiner OEM-Sicherheits-Studie, die ihr euch in vollem Umfang herunterladen und zu Gemüte führen könnt, einige Ratschläge an Nutzer und Hersteller zusammengefasst:

Nutzer sollten das OEM-System vor der Inbetriebnahme ihres neuen Rechners komplett entfernen und es gegen eine „saubere“ Installation austauschen, die frei von Bloatware ist. Außerdem sollten User Software, die ohnehin nicht gewollt oder gebraucht wird, entfernen und vorinstallierte Updater deaktivieren. Der Kauf eines Microsoft-Signature-Edition-Geräts sei außerdem ein sinnvoller Schritt, garantiere aber auch keine vollständige Sicherheit.

Den OEMs gibt Duo Security die Ratschläge, ihre Updater mit einer konsistenten TLS-Verschlüsselung zu versehen, sodass die Übertragung von Updates und Co. sicher vonstatten geht. Außerdem sollen alle OEMs eine Signierung der Update-Manifest-Dateien vornehmen, sodass diese nicht modifiziert werden können. Als letzter Rat gibt Duo Security den Herstellern mit, die Authenticode-Signaturen zu validieren, sofern möglich.

Bitte beachte unsere Community-Richtlinien

Schreib den ersten Kommentar!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Finde einen Job, den du liebst