trojaner

Der Sicherheitsforscher slipstream/RoL hat in Software, die auf PCs und Tablets von die Dell, Lenovo und Toshiba vorinstalliert ist, mehrere Sicherheitslücken gefunden. Die Schwachstellen erlauben es Angreifer unter Umständen, Malware einzuschleusen und mit Systemrechten auszuführen.

Alle drei Hersteller liefern die betroffenen Tools, die vor allem bei Support-Anfragen helfen und andere vorinstallierte Systemsoftware aktualisieren sollen, praktisch mit allen Rechnern aus.

Drei der von slipstream/RoL montierten Lücken im Lenovo Solution Center haben Experten der Carnegie Mellon University inzwischen nachvollziehen können. Angreifer müssen demnach Nutzer, auf deren Rechner das Lenovo Solution Center läuft, lediglich auf eine präparierte Website locken oder dazu verleiten, eine HTML-E-Mail zu öffnen. Sie können dann die Kontrolle über das System übernehmen.

Lenovo untersucht die Schwachstellen derzeit noch. “Wir werden ein Update mit den benötigten Fixes so schnell wie möglich zur Verfügung stellen”, zitiert die Carnegie Mellon University aus einer Stellungnahme des Herstellers.

Auf Dell-Rechnern ist die vorinstallierte Anwendung Dell System Detect dem Forscher zufolge gefährlich. Sie kann ausgenutzt werden, um wiederholt Meldungen zur Benutzerkontensteuerung einzublenden um Nutzer so dazu zu verleiten, Anwendungen Systemrechte einzuräumen. Mittels der Software Toshiba Service Station kann ein angemeldeter Benutzer mit eingeschränkten Rechten auf Teile der Windows Registry zugreifen, wofür eigentlich Systemrechte erforderlich sind.

Dell hatte erst kürzlich Ärger wegen der Support-Software Dell System Detect, weil das Root-Zertifikat DSDTestProvider zusammen mit der Support-Software installiert wird. Die Deinstallation des Tools ist jedoch nicht zielführend, da das Zertifikat noch auf dem Rechner verbleibt. Wie zuvor das eDellRoot-Zertifikat wird auch DSDTestProvider gemeinsam mit dem zugehörigen privaten Schlüssel im Windows Root Store installiert. Dadurch lassen sich beide nutzen, um betrügerische Zertifikate für beliebige Websites auszustellen und auch per HTTPS verschlüsselte Kommunikation zu dechiffrieren.

Auch bei Lenovo ist es nicht das erste Mal, dass vorinstallierte Software unerwünschte Nebenwirkungen hat. Im August kam heraus, dass die Lenovo Service Engine im BIOS eine Windows-System-Datei überschreibt. So war der Hersteller in der Lage, seine Software ohne Kenntnis und Einwilligung des Anwenders im Nachhinein aufzuspielen.