[English]Auf den meisten HP-Rechnern ist die HP Touchpoint Analytics-Software vorinstalliert. Eine Schwachstelle ermöglicht Angreifern Administratorechte zu erlangen.
Anzeige
HP TouchPoint Analytics ist eine Software, die auf den meisten HP-Computern in Form eines Windows-Dienstes vorinstalliert ist, der mit den Top-Level-Berechtigungen NT AUTHORITY\SYSTEM" ausgeführt wird und dazu dient, Informationen zur Hardwareleistungsdiagnose anonym zu sammeln. Ich hatte bereits 2017 über die HP Touchpoint Analytics-Software berichtet (siehe HP installiert heimlich HP Touchpoint Analytics Client-Telemetriedatenprogramm). Damals gab es eine Stellungnahme von HP, dass das Sammeln von Telemetriedaten kein Problem sei.
Schwachstelle in HP Touchpoint Analytics
Bleeping Computer berichtet hier, dass in der Software eine Local Privilege Escalation (LPE) Schwachstelle gefunden wurde. Die Schwachstelle CVE-2019-6333 wurde in der Open Hardware Monitor-Bibliothek gefunden, die von der Überwachungssoftware von HP verwendet wird.
CVE-2019-6333 ermöglicht es Angreifern, Malware über die Ausweitung der Berechtigungen auf Systemebene auszuführen und der Erkennung von Anti-Malware zu entgehen. Dazu kann sie das Whitelisting der Anwendung umgehen. Dieses Whitelisting wird häufig verwendet, um die Ausführung unbekannter oder potenziell schädlicher Anwendungen zu verhindern.
Die Schwachstelle wurde vom Sicherheitsforscher Peleg Hadar von SafeBreach Labs entdeckt und am 4. Juli an HP gemeldet. Sie betrifft alle Versionen des HP Touchpoint Analytics Client unter 4.1.4.2827. Das Problem ist der bereits häufiger hier im Blog angesprochene Suchpfad für DLLs, die ein DLL-Hijacking ermöglicht.
Laut Hadar wird das Sicherheitsproblem durch die Verwendung eines unkontrollierten Suchpfades verursacht wird, und es wird nicht validiert, ob die geladenen DLLs mit digitalen Zertifikaten signiert sind. So kann eine Malware eine eigene DLL im Pfad ablegen und laden lassen. Die DLL enthält dann die System-Rechte des ladenden Diensts.
Solche Fehler in der DLL-Suchreihenfolge werden häufig in der späteren Phase bösartiger Angriffe ausgenutzt, nachdem die betroffenen Computer bereits infiltriert wurden. Diese Schwachstelle ermöglicht es, die Berechtigungen zu erhöhen, um Persistenz zu erlangen und ein kompromittierte System weiter zu infiltrieren.
Sicherheitshinweis und Update verfügbar
HP hat einen Sicherheitshinweis zum Erkennen, ob ein Gerät anfällig ist, veröffentlich und stellt ein Update für die HP TouchPoint Analytic-Software über Windwos Update bereit. Der Sicherheitshinweise enthält Informationen, wie die Software aktualisiert werden kann. Ich persönlich würde die Software aber eher deinstallieren.
2015
Der Fehler steckt mal wieder in einer Komponente eines DRITTEN (hier: dem "Open Hardware Monitor", d.h. von einem OpenSource-Frickler fabriziertem SCHROTT).
Und er kann nur ausgenutzt werden, weil anderer OpenSource-SCHROTT (hier: Python 2.7) installiert wurde, der ein für Benutzer schreibbares Verzeichnis (hier: C:\Python27) erstellt UND in den Suchpfad des Systems aufnimmt.
"It is important to note that an administrative user or process must (1) set the directory ACLs to allow access to non-admin user accounts, and (2) modify the system's PATH variable to include that directory."
Fazit: Finger weg von (OpenSource-)Schrott, der sich in Verzeichnisse ausserhalb "%ProgramFiles%" installiert!
Siehe dazu auch die MINIMAL-Anforderungen der inzwischen 24 Jahre alten "Designed for Windows"-Richtlinien!