Hintertür in Notebooks von HP Compaq
Durch eine kritische Lücke in der auf vielen Laptops von HP vorinstallierten Software "HP Info Center" kann ein Angreifer die Kontrolle über den Rechner übernehmen. Dazu genügt der Besuch einer präparierten Webseite mit dem Internet Explorer.
- Daniel Bachfeld
Eine kritische Lücke in der auf vielen Laptops von HP vorinstallierten Software "HP Info Center" gefährdet deren Sicherheit. Ein Angreifer kann über eine manipulierte Webseite ein verwundbares Laptop beim Besuch mit Schädlingen infizieren, sofern der Anwender den Internet Explorer 6 oder 7 benutzt. Das Info Center ist Bestandteil der ab Werk installierten HP Quick Launch. Einen ähnlichen Fall gab es bereits Anfang des Jahres bei Acer-Notebooks, bei dem ein ab Werk installiertes ActiveX-Control eine gefährliche Hintertür enthielt.
Ursache des Problems sind drei unsichere Methoden in einem vom Info Center mitinstallierten ActiveX-Control (HPInfoDLL.dll, CLSID 62DDEB79-15B2-41E3-8834-D3B80493887A), die den Zugriff auf das Dateisystem und die Registry ermöglichen sowie einen automatischen Download und die Installation weiterer Software unterstützen. Das Control ist als "Safe for Scripting" deklariert, sodass jede beliebige Webseite es ansprechen und via JavaScript fernsteuern kann.
Betroffen ist laut des auf dem Exploit-Portal Milw0rm erschienenen Fehlerberichts HP Info Center v1.0.1.1 unter Windows 2000, XP, Server 2003 und Vista. Der Fehlerbericht enthält auch Demo-Code, um das Problem vorzuführen. Nach Angaben des Entdeckers mit dem Pseudonym "porkythepig" wurde der Fehler auf folgenden HP-Modellen nachvollzogen:
HP 510 Notebook PC
HP 530 Notebook PC
HP Compaq 8710w
HP Compaq 8710p
HP Compaq 8510w
HP Compaq 8510p
HP Compaq 6910b
HP Compaq 6715b
HP Compaq 6510b
HP Compaq 2710p
HP Compaq 2510p
HP Compaq NC series Business Notebook PC
HP Compaq NC6230
HP Compaq NC6220
HP Compaq NC8230
HP Compaq NX series Business Notebook PC
HP Compaq NX7300
HP Compaq NX6120
HP Compaq NX8220
HP Compaq NX6325
HP Compaq NW series Mobile Workstation
HP Compaq NW9440
HP Compaq NW8440
Bei einem Test der heise-Security-Redaktion ließen sich die Lücken mit einem modifiziertem Exploit unter Windows XP SP2 auf einem HP Compaq NX 6125 nachvollziehen. Auf den Modellen HP Compaq 6715 und 6720 mit Windows Vista Basic funktionierte der Exploit indes nicht, obwohl das verwundbare Control installiert war. Ob es auf dem eigenen Laptop installiert ist, findet man in den Details der Datei unter C:/Programme/Hewlett-Packard/HP Info Center/HPInfoDLL.dll heraus.
Dem Bericht ist nicht zu entnehmen, ob "porkythepig" den Hersteller über das Problem informiert hat. Als Lösung des Problems schlägt der Bericht vor, auf ein Sicherheitsupdate zur warten und bis dahin einen Webbrowser zu benutzen, der kein ActiveX unterstützt, etwa Firefox oder Opera. Alternativ kann der Anwender auch ActiveX im Internet Explorer für einzelne Zone oder komplett deaktivieren. Schließlich lässt sich auch das Kill-Bit für das Control setzen, um zu verhindern, dass der Internet Explorer es laden kann. Eine Anleitung ist hier zu finden: So verhindern Sie die Ausführung von ActiveX-Steuerelementen in Internet Explorer. Zur Not hilft es auch, die Datei einfach umzubenennen oder zu löschen.
Siehe dazu auch:
- HP Compaq Notebooks ActiveX Remote Code Execution Exploit, Fehlerbericht von porkythepig
(dab)
