OEM-Bloatware (PdiService.exe) als Sicherheitsrisiko auf Notebooks

Ein von OEMs (HP, PHILIPS, FUJITSU) auf vielen Windows-Notebooks vorinstalliertes Tool stellt ein Sicherheitsrisiko für Benutzer dar. Millionen Geräte dürften betroffen sein.


Anzeige

Das Thema ist nicht so wirklich neu – ich hatte im Blog ja immer wieder Beiträge, in denen potentiell unerwünschte Software der OEMs als Sicherheitsrisiko thematisiert wurde (siehe Linkliste am Artikelende).

Aktuell geht es um den von der Firma Portrait Displays Inc. erstellten Portrait Display SDK Dienst. Dieser ermöglicht die Bildschirmeinstellungen zu verwalten und wird über das SDK-Programm PdiService.exe auf Windows-Systemen implementiert. Viele OEMs liefern das Programm unter verschiedenen Namen aus. Fujitsu nennt das Ganze DisplayView Click, andere OEMs haben weitere klangvolle Namen erfunden.

Die Programmfunktionen erscheinen zwar sinnvoll – aber letztendlich handelt es sich um Bloatware, die auch noch mit einem Sicherheitsrisiko behaftet ist. PdiService.exe und lässt sich in der Standardkonfiguration von sämtlichen authentifizierten Benutzern beschreibbar aufrufen, wie die österreichische Sicherheitsfirma sec.consult.com hier angibt. Dies stellt aber ein Sicherheitsrisiko dar.

Zwischenzeitlich ist diese CERT-Warnung VU#219739 veröffentlicht. Es betrifft die Portrait Display SDK, Versionen 2.30 bis 2.34 Die Anweisung:

sc.exe config pdiService.exe binpath "mc.exe –nv –l 127.0.0.1 –p4242 –p c:\Windows\System32\cmd.exe |out-null


Anzeige

verwendet den UAC-Bypassing-Ansatz (siehe Erebus Ransomware und die ausgetrickste UAC), um über den Dienst und die Microsoft Verwaltungskonto die Eingabeaufforderung mit entsprechenden Privilegien zu öffnen. Die Eingabeaufforderung läuft anschließend mit den Privilegien des Systems.

Vom Anbieter gibt es zwar eine aktualisierte Fassung der PdiService.exe, die durch OEMs angeboten werden sollte. Man kann aber die Schreib/Leseberechtigungen für authentifizierte Nutzer (Authenticated Users) in einer administrativen Eingabeaufforderung mittels des Befehls:

sc sdset pdiservice D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)
(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)

entziehen. Dann sollte die Sicherheitslücke geschlossen sein. Das zeigt wieder einmal, dass Softwarebeigaben der OEMs die Systeme nicht nur mit unnützem Zeugs belasten, sondern zu Sicherheitsproblemen führen. Ein paar zusätzliche Informationen finden sich bei golem.de in diesem Artikel. Jemand von Euch, der die Software auf seinem System hat?

Ergänzung: Es klang in den Kommentaren ja an, dass die Software 'nie' auf HP-Systemen eingesetzt wurde. Auf der Portait-Webseite wird aber ein HP Display Assistant thematisiert – dessen Version 2.1 im US-CERT als vulnerable angegeben ist. Ich selbst kann das Mangels Geräten nicht final verifizieren.

Ähnliche Artikel:
Sicherheitslücken bei Dell, Lenovo, Toshiba durch PUPs…
Windows 10-Upgrade: Probleme mit Toshiba ConfigFree Utility
Erebus Ransomware und die ausgetrickste UAC


Anzeige

Dieser Beitrag wurde unter Notebook, Problemlösung, Sicherheit, Windows abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Antworten zu OEM-Bloatware (PdiService.exe) als Sicherheitsrisiko auf Notebooks

  1. Dekre sagt:

    Das verstehe ich alles nicht. Ich habe 2 HP-PCs. Der HP Display Assistant ist bei beiden nicht (!!) vorinstalliert.
    Ich habe jedoch 3 HP Monitore (Modelle HP ZR2440w und HP Compaq LA2405wg). Dort war jeweils eine DVD mit bei und auf dieser war dieser HP Display Assistant drauf. Dieser ist von der Firma Portrait Displays.
    Die Version war wohl 2.1 oder so. Das ist aber mehr als 3 bis 5 Jahre alt.

    Jetzt steht in der CERT-Warnung, dass die Version 2.1 betroffen sei und mit Version 2.11 das beseitigt wurde. Die Version Portrait Display SDK kenne ich nicht. Im Juli 2016 habe ich dann das Update auf Version HP Display Assistant mit Version 3.02.004 durchgeführt.

    Jetzt kann man auf der Portrai Displays Seite die Version vom HP Display Assistant 3.20.016 bekommen. Das Ganze gibt es hier allgemein – da kann man wählen:
    http://www.portrait.com/support.html

    Für den HP Display Assistant gibt es das dann hier:
    http://www.portrait.com/dtune/hwp/enu/index.html

    Ich habe meine PCs nach "PdiService.exe" suchen lassen. Diese ist nicht vorhanden.
    Interessant ist auch was golem.de schreibt. Dort steht "Der Hersteller hat das Problem behoben". Irgendwas haut an dieser Meldung von SEC Consult vom 25.04.2017 und den anderen nicht so hin oder ich verstehe das eben nicht.

    • Fischer sagt:

      Weil ich wegen diverser Fujitsu-Siemens-Monitore eine alte Version von "DisplayView Click" hier uninstalliert rumliegen habe, hab ich mir das Ganze mal in einer virtuellen Maschine angeschaut. Das Wichtigste:

      1. "PdiService.exe", wie Herr Born brav abschreibt, gibt es vermutlich gar nicht. Binaries für Dienste haben in der Praxis meist (immer?) Dateinamen mit max. 8 Zeichen. Die Datei für den Dienst heißt bei der Fujitsu-Software, wahrscheinlich aber auch sonst, pdisrvc.exe und befindet sich in C:\Program Files\Common Files\Portrait Displays\Drivers (o.ä.). Das kannst du über die Übersicht der Windows-Dienste (services.msc) erfahren:
      Portrait Displays SDK Service -> Rechtsklick "Eigenschaften" -> "Pfad zur EXE-Datei".
      Such mal auf deinen Systemen nach der dort angegebenen Datei.

      2. Ich halte es für plausibel, daß die von dir im Juli 2016 besorgte Version 3.02 den Fix
      bereits enthält, es also stimmt, daß die HP-Software bereits in einer alten Version 2.11 gefixt wurde. Grund: Die laut US-CERT für die Fujitsu-Version zu installierende Version DisplayView Click 6.3, die als aktuelle Version auf der Portrait-Webseite angeboten wird, ist lt. digitaler Signatur bereits vom März 2016 und enthält pdisrvc.exe 2.3.2.2 vom 19. November 2015. Für HP müßtest du selber mal schauen.

      3. Allerdings sagen die reinen Dateiversionen/Änderungsdaten von pdisrvc.exe alleine wenig aus. Es gibt auf der Portrait-Webseite auch ein Sicherheitsupdate für Fujitsu DisplayView Click Version 5 mit Signatur vom 18. April 2017, welches offenbar nicht die Datei pdisrvc.exe aktualisiert, sondern nur die Berechtigungen (DACLs) modifiziert, also den beschriebenen Workaround durchführt, nur halt nicht manuell.

      4. Sprich: Das Sicherheitsproblem besteht vermutlich nur in älteren Versionen der Portrait-Software. Was neu ist, ist nur ein Fix für diese älteren Versionen, denke ich.

  2. Swen Werner sagt:

    Hi Günter,

    ich finde den Artikel leider nicht korrekt Recherchiert.
    HP-Notebooks haben nie diesen Dienst vorinstalliert. Lediglich die HP AllInOne-Geräte und Desktop-Bundles (gibt es kaum noch), werden mit der HP MyDisplay-Software ausgestattet.

    Gruß Swen

    • Dekre sagt:

      Hallo Swen, Deine Internet-Verlinkung ist lustig. Da findet man nämlich gar nichts. HP muss da nachbessern und mal endlich einen richtigen Support liefern. Ich spreche aus Erfahrungen mit HP Geräten und nervigen Telefonaten mit dem HP Support.

      • Günter Born sagt:

        Ich habe den Link raus genommen – da nicht sachdienlich. Falls es ein Spam-Versuch gewesen sein sollte, werde ich den Nutzer blockieren (diese Versuche mit Links auf irgendwelche Anbieterseiten stelle ich in letzter Zeit vermehrt​ fest).

        • Swen Werner sagt:

          Was für Internet-Verlinkung? Mein Namen mit HP.com verlinken? Sorry, das ich für den HP-Support arbeite.

          Ich habe in meinem Kommentar kein Link gepackt.

          Gruß Swen

          • Dekre sagt:

            Hallo Swen, nimm dann die beiden Kritiken an! Denn die Verlinkung hilft nicht!

            Ich hatte auf allen HP-PCs eine Bluescreen. Das Servicetool von HP lieferte dabei bei beiden einen Fehlercode – Festplattenfehler auf den Systemlaufwerk. Das kann man mit MS-Bordmittel machen, da gibt es keine Fehler bei HP gibt es Fehler. HP will dafür keine Lösungen anbieten und ich habe schon genug recherchiert.
            Fazit – Der HP-Support ist, wenn die Garantie ausgelaufen ist, nicht existent. Deshalb lieber Swen – nimmt die Kritik an. Oder soll ich mich erst wieder mal mächtig bei der Geschäftsleitung beschweren. Das Ganze habe ich schon mal durch und es war sehr erquickend mit dann positiven Resultat für mich.

            Hier geht es aber um was anders und da hast Du vom Support nichts Wesentliches beigetragen. Ich habe heute morgen bei SEC Consult angerufen. und warte nun auf Antwort – So macht man das!

            Dein Link ist im Namen verpackt, nimm doch diesen raus. Er hilft nicht.

          • Swen Werner sagt:

            Hi, ich wollte auch nichts zu dem Artikel beitragen. Ich wollte Klar stellen, dass die Recherche minderwertig war. Denn kein HP-Notebook ist von Hause aus mit diesem Dienst ausgestattet, was aber der Artikel sagt.

            Zu dem anderen Bluescreen etc.: Melde dich bei uns per Facebook. (HP-Kundensupport) und gebe uns den Fehlercode. Ich weiß weder was für ServiceTool du meinst (da es mehrere gibt) noch was du für ein Gerät hast usw….

            Bzgl. der Ergänzung von Günter um Artikel: Ich habe in mehreren Notebooksystemen heute geprüft und prüfen lassen, ob dieser Dienst bei uns existiert (vorinstalliert) -> Nein.

          • Dekre sagt:

            Genau @Swen – zu den Notebook und OEM -Vorinstallierte hatte ich ja schon geschieben und auch den Selbsttest gemacht. Zu fazebok und andere gehe ich nicht. Dieses Kommunikationsmittel ist für Seriöse nicht bekannt. Ich werde mir eine andere Lösung einfallen lassen müssen um auch qualifiziert eine Antwort zu bekommen. Sollte mich das dann zusätzliches Geld kosten sollen, so wird es interessant.

          • Günter Born sagt:

            Die Verlinkung auf HP.com im URL-Feld zeigte bei Anwahl irgend eine Animation zu HP-Druckern – wurde wohl dynamisch umgeleitet. Dass Du bei HP arbeitest, hatte ich gar nicht mitbekommen und adressiert. Wie gesagt, die HP.com habe ich rausgenommen, da der dynamische Link nicht hilfreich war – nix für ungut (mein SPAM-Verdacht war da wohl unbegründet).

            Zur generellen Aussage: Auf HP wurde das Tool nie installiert – muss ich zur Kenntnis nehmen – daher danke für die Ergänzung.

  3. Aber ich muss schon Günter recht geben mit seinem Artikel, der Crap der von HP oder auch Dell mit vorinstalliert wird ist echt unter aller Sau, wir haben ja auch einige PCs von HP aber die meisten jedoch von Dell ich glaube gar nicht das die Firmen genau wissen was da für ein Crap mit installiert wird.
    Von Dell und auch HP gabs mal so ein Systemtreiber Aktualisierungs-Tool eigentlich nicht schlecht, nur wenn das Teil dann einigen Jahren keine Aktualisierungen mehr findet weil der Server abgeschaltet ist trägt man den Unsinn im Autostart ohne nennenswerten Nutzen mit sich herum und hat letztendlich einen Halben Trojaner über den alles mögliche mit erweiterten Systemrechten installiert werden kann.
    Bei Dell war das ja auch vor nicht allzu langer zeit auch der Fall!

    Letztendlich wird mittlerweile von mir Persönlich jeder PC Neuerwerb Komplett neu installiert, damit dieser ganze Dreck sich erst gar nicht mit ein nistet.
    Zu guter Letzt haben wir zwei HP Elitepad da habe ich neulich festgestellt da sich mit dem Chipsatztreiber ein Display…Irgendwas…Assistent mit installiert und in die Autostart einnistet, da die Tablets jedoch über eine Intel GMA verfügen irgendwas Display und dort noch einen Extra Treiber benötigen, bin ich zunächst davon ausgegangen das dieser Assistent möglicherweise was mit dem Touchscreen zu tun haben könnte, aber das war es dann doch nicht weil das teil irgendwie mit einer zu HP gehörenden IP Adresse in Amiland quasselt.
    Somit habe ich für den Assistenten in der Firewall eine Ausnahme Regelung geschaltet und diese Teil in der Run und Autostart deaktiviert, dummerweise wird das dann mit jeden größeren Windows Upgrade wieder Aktiviert.

    Ich hatte auch schon mal bei HP Deutschland angefragt was das fürn Dreck ist, konnte oder durfte mir aber niemand eine Auskunft dazu geben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.