Gefährliche Sicherheitslücken in HP Support Assistant immer noch offen

Ein Sicherheitsforscher rügt HP, weil die Entwickler seit Monaten im standardmäßig installierten HP Support Assistant diverse Schwachstellen nicht schließen.

In Pocket speichern vorlesen Druckansicht 14 Kommentare lesen
Gefährliche Sicherheitslücken in HP Support Assistant immer noch offen

(Bild: Artur Szczybylo/Shutterstock.com)

Lesezeit: 2 Min.

Der Sicherheitsforscher Bill Demirkapi empfiehlt allen Besitzern von HP-Windows-Computern die Deinstallation des Tools HP Support Assistant. Die Anwendung ist seit Monaten über mehrere Sicherheitslücken angreifbar. Bislang hat HP noch nicht alle Lücken geschlossen. Mit einem Patch haben sie die Sache sogar verschlimmbessert.

Das Tool HP Support Assistant sorgt dafür, dass unter anderem die Software auf HP-Computern stets aktuell ist. Das Tool ist auf Computern und Laptops des Herstellers mit Windows 7, 8.1 und 10 seit Oktober 2012 standardmäßig installiert.

Demirkapi gibt an, HP im Mai 2019 erstmals kontaktiert und über die zehn von ihm entdeckten Sicherheitslücken unterrichtet zu haben. Im Dezember 2019 erschien dann das erste Sicherheitsupdate. Ein weiterer Patch stand ab März 2020 zum Download bereit. Doch wie der Sicherheitsforscher nun herausgefunden hat, sind vier Lücken immer noch nicht geschlossen.

Dabei handelt es sich um Local-Privilege-Escalation-Schwachstellen. Setzen Angreifer dort erfolgreich an, könnten sie sich höhere Nutzerrechte aneignen. Wie das im Detail funktionieren kann, beschreibt der Sicherheitsforscher in einem ausführlichen Beitrag.

Dort beschreibt er auch, dass HP mit einem Patch sogar eine weitere Schwachstelle eingeführt hat. Die von ihm gemeldeten Schadcode-Lücken sind aber geschlossen. CVE-Nummern und eine darauf fußende Einstufung des Angriffsrisikos sind in dem Beitrag nicht zu finden. Demirkapi spricht von kritischen Lücken. Wann HP die verbleibenden Schwachstellen schließt, ist bislang nicht bekannt.

Damit Besitzer von HP-Computern keinem Sicherheitsrisiko ausgesetzt sind, empfiehlt der Sicherheitsforscher die Deinstallation des Tools. Wer darauf nicht verzichten kann, sollte sicherstellen, dass stets die aktuelle Version installiert ist. Demirkapi zufolge ist die automatische Updatefunktion nicht ab Werk aktiviert – laut HP soll das aber der Fall sein.

[UPDATE, 07.04.2020 07.45 Uhr]

Mittlerweile hat HP ein weiteres Sicherheitsupdate veröffentlicht. Es ist aber unklar, ob nun alle Lücken geschlossen sind. (des)