Luki w komputerach HP

Bill Demirkapi – badacz bezpieczeństwa odkrył wiele luk w HP Support Assistant, narzędziu preinstalowanym na wszystkich komputerach HP sprzedawanych po październiku 2012 roku.
Narzędzie było umieszczane na komputerach z systemem Windows 7, 8 i 10 i na te systemy wpływa dziesięć podatności bezpieczeństwa, w tym pięć błędów eskalacji uprawnień lokalnych, dwa błędy usuwania plików i trzy błędy zdalnego wykonania kodu.

Po uruchomieniu, narzędzie zaczyna hostować usługę, która udostępnia klientowi ponad 250 różnych funkcji. Usługa interfejsu działa na uprawnieniach lokalnego systemu (NT AUTHORITY\Local System), a klienci łączą się z nią za pomocą specjalnego protokołu transmisji. Przeprowadzana jest seria połączeń kontrolnych w celu sprawdzenia poprawności połączeń klienta z interfejsem, aby ostatecznie umożliwić klientowi wywołanie określonych metod.

Badacze twierdzą, że chociaż wprowadzono pewne zabezpieczenia, HP Support Assistant jest niebezpieczny na skutek swojej architektury. Specjalista odkrył, że osoba atakująca ma możliwość umieszczenia własnego złośliwego pliku binarnego w określonych folderach na partycji systemowej i zlecenia wykonanie go przez podpisany proces HP z uprawnieniami systemowymi, w taki sposób, że pobrany plik zostanie wykonany nawet w przypadku niepowodzenia weryfikacji podpisu, oraz że osoba atakująca może uruchomić plik wykonywalny tak, aby zapisać szkodliwe ładunki w dowolnym miejscu w systemie.

Co więcej, badacz odkrył, że osoba atakująca może zastosować dwie proste metody usunięcia dowolnego pliku na komputerze, w kontekście uprzywilejowanego procesu HP.

Ponadto Demirkapi stwierdził, że plik binarny „HP Download and Install Assistant” może zostać wykorzystany w celu uzyskania zdalnego wykonania kodu. W tym celu osoba atakująca musiałaby nakłonić ofiarę do odwiedzenia złośliwej witryny, nakłonić program do pobrania biblioteki DLL lub uzyskać cyfrowe certyfikaty dla fałszywych firm, które zawierają „HP” lub „Hewlett Packard” w ich nazwach.

Odkrywca podatności w odpowiedzialny sposób ujawnił wszystkie luki w zabezpieczeniach HP, a firma wprowadziła łatki, ale wydaje się, że nie rozwiązała wszystkich zidentyfikowanych problemów. W rzeczywistości pierwsze poprawki, które zostały wprowadzone dla zgłoszonych luk, wprowadziły nowe wady. Producent komputerów dostarczył nowe poprawki pod koniec marca.

Według Demirkapi użytkownicy mogą ograniczyć zagrożenia bezpieczeństwa związane z narzędziem HP, całkowicie usuwając je ze swoich komputerów.

Popularne

Czym są non-human identities (NHI)? Jak możemy je chronić i jakie zagrożenia stwarzają dla organizacji?

W dzisiejszym artykule opisujemy pewien problem istniejący w firmach i organizacjach, związany z tożsamościami nieludzkimi (non-human identities), czyli inaczej – tożsamościami niezwiązanymi z pracow...

10 min czytania 16 wrz 2024 07:54

Filtrowanie URL i DNS, dlaczego to takie ważne?

Filtrowanie adresów URL ogranicza zawartość stron internetowych, do których użytkownicy mają dostęp. Odbywa się to poprzez blokowanie określonych adresów URL przed załadowaniem. Firmy wdrażają filtrowanie...

6 min czytania 14 cze 2022 09:20

Nowe podatności w architekturze sieci 5G

Nowe badania nad architekturą 5G ujawniły lukę w zabezpieczeniach modelu dzielenia sieci oraz zwirtualizowanych funkcjach sieciowych, które można wykorzystać do nieautoryzowanego dostępu do danych, a tak...

5 min czytania 31 mar 2021 08:00

Hakerzy z Dragon Breath z nową techniką ataku

Specjaliści z Sophos wykryli niedawno złośliwą aktywność polegającą na klasycznym DLL side-loadingu, ale ze zwiększoną złożonością i dodatkową warstwą wykonania. Co więcej, dochodzenie wskazuje, że oso...

3 min czytania 9 maj 2023 09:44

Polowanie na eskalację uprawnień w Windows: sterowniki jądra i Named Pipe pod lupą

Podatności typu Local Privilege Escalation (LPE) pozostają jednym z kluczowych elementów realnych ataków na systemy Windows. Nawet przy poprawnie skonfigurowanym systemie i aktualnym oprogramowaniu bł...

5 min czytania 30 gru 2025 09:24