在PC上预加载的OEM软件更新工具是一种安全混乱
严重漏洞悄悄进入了PC制造商在Windows计算机上预加载的软件工具中,但问题的全部范围比以前的思想要差。
安全公司Duo Security的研究人员已经测试了从五个PC OEM(原始设备制造商) - 宏碁,asustek计算机,联想,戴尔和惠普的笔记本电脑上安装的软件更新器脆弱性。缺陷可能使攻击者远程执行与系统权限的代码,导致完整的系统妥协。
在大多数情况下,在检查或下载更新时,OEM软件更新器不会使用加密的HTTPS连接产生的问题。此外,一些更新者没有验证下载的文件在执行之前由OEM数字签名。
更新工具和OEM的S服务器之间的通信信道缺乏加密允许攻击者拦截请求并提供由工具执行的恶意软件。这被称为一个中间人攻击,可以从不安全的无线网络,从受损路由器推出,或者通过流氓ISP或情报机构从互联网基础设施中的更高版本推出。
在某些情况下,即使OEM实施HTTPS和数字签名验证,也有其他监督和缺陷,可以允许攻击者绕过安全措施,Duo安全研究人员发现。
“在我们的研究中,我们经常被系统服务,Web服务,COM服务器,浏览器扩展,套接字和命名管道的复杂混乱欢迎,”研究人员在其报告中表示。“许多令人困惑的设计决策使我们想知道项目是否完全从恶劣的ScketOverflow Post组装。”
这五家公司没有立即回复关于关于二人组织安全报告的评估要求。
更新工具的安全性和行为在同一系统上甚至不一致,更不用说同一制造商。研究人员发现,在某些情况下,OEM具有不同的工具,从不同来源下载了不同来源的更新,具有显着不同的安全性。
例如,联想解决方案中心(LSC)是研究人员测试的最佳软件更新器之一,具有坚实的中非保护。这可能是因为过去几次在LSC中发现了其他缺陷,借鉴了公司的关注。
另一方面,测试的联想系统还有一个被称为UpdateAgent的第二个更新工具,它绝对没有安全功能,并且是分析的最糟糕的更新器Duo安全性之一。
戴尔预加载的工具,即戴尔更新软件和戴尔基金会服务(DFS)的更新插件,是一些最精心设计的更新者,但才能仅当自签名的Edellroot引起的关键问题时由Duo Security在11月份发现的证书,被排除在外。
从那时起,戴尔似乎已经掌握了它的软件更新实现。Duo研究人员发现了在其系统上预先安装的DFS版本中的其他几个问题,但戴尔在1月份的更新中默默地修补它们,然后才有机会报告它们。
HP“S更新机构,HP支持解决方案框架(HPSSF)与其惠普下载和安装助手组件,也乍一看了在适当位置。然而,研究人员发现了几种方法可以绕过一些保护,主要是因为实现不一致。
HPSSF的问题源于其大量组件和它们彼此相互作用的不同方式。有时相同类型的保护,如签名验证以不同的方式在多个地方实施。
在HP的决定中也观察到复杂性的这种趋势在其PC上安装了异常大量的支持工具。
研究人员说,HP“暴露了由于机器上包括巨大的专有工具而导致的最大攻击表面。”“我们并不肯定他们所做的一切,我们有点厌倦了一段时间后逆转他们,所以我们停了下来。”
除了联想的更新情况下,更糟糕的是更糟糕的是,该公司计划在6月份退出和从系统中退出和删除,是来自宏碁和华硕的系统。它们不仅缺乏HTTPS或文件签名验证,而且根据DUO安全性,问题仍未被删除。
Duo研究人员的主要建议是擦除计算机上的预加载Windows版本,并安装Windows的清洁副本。在大多数情况下,他们应该能够使用其现有的许可证密钥,在Windows安装期间自动检测到较新的Windows版本中。
“利用大多数漏洞所需的复杂程度在Duo午餐室地板上的咖啡污渍和平均盆栽植物中所拥有的咖啡污染物之间的某个地方 - Duo研究人员在博客岗位上说道。
并且仅基于OEM更新工具的分析,而不是供应商在新计算机上常用的所有第三方软件。谁知道其他缺陷这些应用程序可能会有什么?