Achtung: HP Support Assistant mit Sicherheitslücken

[English]Benutzer von HP-Rechnern sollten reagieren. Der auf vielen Maschinen unter Windows installierte HP Support Assistant weist Sicherheitslücken auf, die auch nicht per Auto-Update geschlossen werden. Ob der Anfang April 2020 freigegebene Patch alle Schwachstellen schließt, ist für mich derzeit unklar.


Anzeige

Was ist der HP Support Assistant?

Um HP-Computer funktionsfähig zu halten, installiert der Hersteller seit Oktober 2012 auf seinen Systemen mit Windows 7, Windows 8.1 und Windows 10 standardmäßig die Software HP Support Assistant. Die Idee: Der HP Support Assistant soll nach Software-Updates (Treiber etc.) suchen und diese aktuell halten.

HP Support Assistent
(HP Support Assistent, Quelle: HP)

Die Idee ist nicht schlecht, die Software kommt mit einer Bedienoberfläche, über dies ich die Updates verwalten lassen. Der Benutzer kann die Updates also steuern und wiegt sich in Sicherheit. Bei mir löst ein solcher Ansatz allerdings Beklemmung aus, sind diese 'Assistenten' doch seit Jahren als eine Art 'Schlangenöl' auffällig. Schöner Schein, aber es funktioniert nicht und es gibt Sicherheitslücken, die die Gerätebesitzer einem Risiko aussetzen. Asus-Gerätebesitzer haben sich dadurch schon mal Malware auf die Systeme geholt (siehe Links am Artikelende).

Sicherheitslücke im HP Support Assistant

Bill Demirkapi ist kürzlich aufgefallen, dass der HP Support Assistant immer noch Sicherheitslücken aufweist. Er hat vorige Woche in nachfolgendem Tweet diesen Sachverhalt öffentlich gemacht.


Anzeige

Ich hole es mal in diesem Blog-Beitrag hoch, da es viele Nutzer von HP-Geräten mit Windows gibt, wo die Software noch installiert ist.

Die Schwachstellen

Über den HP Support Assistant kommt ein ganzes Bündel an Schwachstellen, von der Möglichkeit zum Löschen von Dateien bis hin zu Privilege Escalation-Lücken und Remote Code Execution-Schwachstellen auf das Windows-System. Bill Demirkapi beschreibt die Details dieser sehr gravierenden Schwachstellen sehr ausführlich in seinem Blog-Beitrag hier.

HP bekommt es nicht hin

Demirkapi hat, nach eigenen Angaben, HP bereits im Mai 2019 auf die Schwachstellen hingewiesen. Der Hersteller brauchte dann bis Dezember 2019, bis er ein erstes Sicherheitsupdate zum Schließen der Schwachstellen bereitstellte. Im März 2020 wurde dann ein weiteres Update der Software nachgereicht.

Als Demirkapi sich die neuen Versionen genauer ansah, fiel auf, dass die Schwachstellen nicht alle geschlossen waren. Ein Update hat die Sache sogar verschlechtert, indem eine zusätzliche Schwachstelle eingeführt wurde.

Deinstallation des HP Support Assistant empfohlen

Laut Demirkapi, sind vier Schwachstellen im HP Support Assistant nach wie vor ungefixt (Stand ist 3. April 2020, an dem der Beitrag auf GitHub veröffentlicht wurde). HP hat zwar am 2. April 2020 dieses Security Bulletin zum HP Support Assistant veröffentlicht. Dort heißt es, dass ein neues Update potentielle Schwachstellen im Bereich Eskalation von Privilegien und willkürliches Löschen von Dateien beheben soll. Die Schwachstellen seien von Bill Demirkapi, Hou JingYi (@hjy79425575) vom Qihoo 360 CERT, Nichlas Holm Jørgensen von der dänischen Cyber-Abwehr gemeldet worden.

Ob HP aber alle die von Bill Demirkapi gemeldeten Schwachstellen durch dieses Update gehoben hat, ist derzeit offen. Weiteres Problem: HP behauptet zwar, das die Software sich automatisch aktualisiert. Laut Demirkapi ist die automatische Update-Funktion im HP Support Assistant aber standardmäßig deaktiviert und muss vom Nutzer explizit eingeschaltet werden.

Angesichts dieser Sachlage empfiehlt Demirkapi aus Sicherheitsgründen die Deinstallation des HP Support Assistant. Bleeping Computer und heise haben es dann in weiteren Beiträgen aufgegriffen.

Ähnliche Artikel:
Schwere Sicherheitslücke in Dells PC-Doctor-Assistant
Dell SupportAssist mit schwerwiegender Schwachstelle (Feb. 2020)
ShadowHammer: ASUS Live Update mit Backdoor infiziert
Neuer ASUS-Hack über WebStorage-Cloud Speicherdienst
Windows 10: Update installiert HP Software Component-Treiber
Windows 10-Abstürze bei HP ProBook 455 G4 – Workaround
HP Touchpoint Analytics-Schwachstelle gefährdet PCs
HP installiert heimlich HP Touchpoint Analytics Client-Telemetriedatenprogramm
Vorsicht Support: HP-Pavillion und das blähende Akku
Erneute Warnung vor HPE SSD-Ausfällen (März 2020)


Anzeige

Dieser Beitrag wurde unter Sicherheit, Software, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

26 Antworten zu Achtung: HP Support Assistant mit Sicherheitslücken

  1. Mance sagt:

    Ist der auch gefährlich wenn ich ihn nicht aktiviert habe (also nicht nutze) ?

    • Günter Born sagt:

      Ich antworte mal so: In ganz jungen Jahren war ich mal mit einem alten Opel Kadett beim TÜV. Die Plakette wurde verweigert, weil ein von mir angebauter Nebelscheinwerfer nicht tat. Mein Argument: Den Nebenscheinwerfer braucht es doch im Sommer nicht, konterte der Prüfer: Was am Auto dran ist, hat zu funktionieren. Ergo bin ich einen Meter rechts ran, habe eine Kombizange aus dem Kofferraum geholt, den Scheinwerfer abmontiert und bin dann in die Prüfstraße gefahren. Der Prüfer grinste und sagte: Na bitte, geht doch. Die Plakette habe ich dann bekommen ;-). Mach was draus.

    • Ralf sagt:

      Natürlich, denn er ist ja installiert und somit auf dem System vorhanden!
      Leute lest einfach mal die Beiträge richtig.

  2. Ärgere das Böse! sagt:

    Ich habe das Zeug mal auf meinen beiden HPs installiert.
    Auf dem Elitedesk 800 G1 hat er zwei Intel-Treiber gefunden, die er dann installiert hat. Der Intel Driver und Support Assistant hat diese Treiber nicht aufgelistet, weil diese offenbar zum Kleingedruckten gehören.
    Auf der Z420 Workstation hat er wegen dem BIOS gemeckert, das ich noch bei 3.52 habe und jetzt bei 3.96 ist. Installieren konnte er es nicht, keine Ahnung wieso. Ich müsste es manuell machen. Getraue ich mich :-)?

    • Dekre sagt:

      Ich würde den HP Support Assistant nicht unbedingt zum installieren nehmen, zum kontrollieren ja.

      Das kann bei bestimmten Installationsabläufen nicht so einfach sein. Ich gehe dann immer auf die Seite für das Gerät und speichere diese separat ab. Manchmal muss man in den Versionen zurückgehen. dann hat man diese. Im Prinzip sind die dann alle doppelt und dreifach auf dem PC (Installationsdateien), aber es ist so für mich besser. Man kann ja auch was löschen.

      Aber jeder hat wohl seine eigene Methode.
      Ergänzung – BIOS und so was würde ich NIE über das Ding installieren. Das kann Schaden anrichten. Das insbesondere dann, wenn Neustarts erfolgen soll.

  3. Dekre sagt:

    Eigentlich wollte ich nichts schreiben.

    Gut, ich habe noch alte PCs, die aus dem Support gefallen sind und habe den nur bei einem gelöscht. Bei den anderen könnte ich es auch noch.
    Also wenn man den Beitrag auf Bleeping und auf Heise liest, sind die sich wohl auch nicht ganz einig und es wird wohl etwas durcheinander geworfen.
    Liest man die letzte Security-Meldung von HP, so sind zwei Komponenten wichtig.
    # Einmal HP Support Assistant
    # dann HP Solutions Framework
    Entweder stimmt die letzte Security-Meldung von HP nicht oder es wird alles wieder durcheinander geworfen.

    Jedenfalls richtig ist, dass man den deinstallieren kann (HP Support Assistant). Man kann den auch deaktivieren. HP Framework würde ich nicht deinstallieren. Ich habe u.a. auch die Software vom Taschenrechner HP Prime. Der braucht auch HP Framework.

    Die Frage ist, welche Rolle spielt HP Framework!

    NB- HP Support Assisant updatet sich schon selbst. Meine Fassung von beiden ist aber vom 12.02.2019 (!!!) (Pc ist jetzt Win10 vorher Win7 Upgrade). HP berichtet am 02.04.2020, dass mit diesen (!!!) Versionen man im sicheren ist. Das zitiert auch Heise neu in seinem "[UPDATE, 07.04.2020 07.45 Uhr]".

    Also nichts genaues weiß man nicht. Der beste Schutz ist alle PCs weltweit ausschalten für 14 Tage. Da kommt Stimmung auf. :) & :(

    Ich gehe mal streng davon aus, dass keiner da so richtig Bescheid weiß und die es wissen könnten (HP) haben ein tolles Security Bulletin mit Document ID: c06609927 am 02.04.2020 veröffentlicht. Jedenfalls die empfohlenen Versionen sind auf meinem PC am 12.02.2019 (!) nachweislich installiert.

    Bei HP ist es üblich zu suchen und wer was findet, freut sich. Es ist ja bald Ostern.

    • Mance sagt:

      @Die Frage ist, welche Rolle spielt HP Framework

      Ja, und außerdem sind bei mir noch 7 weitere Features installiert. Ich hab' jetzt mal den Support Assistant deinstalliert und hoffe, dass das reicht. Schwierig für mich das alles zu beurteilen. Jedenfalls werde ich nicht stundenlang englische sites durchrödeln um hinterher eher noch verwirrter zu sein.

      • Mance sagt:

        Nachtrag:
        Ich habe jetzt mal bei Heise den englischsprachigen Link angeschaut. Da steht auszugsweise:

        Zitat
        Es gibt zwei zu deinstallierende Softwarekomponenten, eine heißt "HP Support Assistant" und die andere "HP Support Solutions Framework".

        Also was denn jetzt?

      • Dekre sagt:

        Ja, lass HP Framework drauf. Was sonst noch ist, musst Du mal schauen. Ich würde nicht so schnell was deinstallieren, wenn der PC funktioniert. HP-Drucker brauchen auch HP-Framework.
        Ich kann nur aus meiner Erfahrung sprechen. Wenn was nicht läuft, muss Du ggf. HP Framework neu machen. In der Regel ist es aber so, dass dann mit der neuen HP-Software sich auch HP-Framework installiert.

        Es gibt Framework und es gibt Framework. Schau mal bei Wikipedia.
        Die Framework-Installationen von Dritt-Software bauen alle auf MS-Framework auf. Auch das Programm "Paint" ehemals bei Windows, nun separat, braucht auf MS-Framework. Ist die nötige Version nicht da, so macht es das Programm.

  4. Matschmeer sagt:

    Wenn ich einen neuen HP-PC einrichte, komme ich immer ob der Vielzahl darauf installierter HP-Software ins Grübeln. Wozu das alles? Die Kisten funktionieren auch ganz ohne diese Dinger.

    • Dekre sagt:

      Richtig. Es kommt aber auch darauf an ob Du ein "home" oder "business" PC hast. Ich hatte darüber mal berichtet, was alles bei neuen HP-Business-PC (Win10) so blockiert.
      Das mal unabhängig von diesen HP Support Assistant. Es muss doch einen Grund geben, dass seinen Kunden anzubieten.
      Ich erinnere mich mal an einem Fall beim "Tagesspiegel" oder war es doch "TAZ". Dort wurde ein USB-Stick entdeckt, der alles aufzeichnete. Das kann man mit HP Software (auch vorinstalliert, HP Sure etc) verhindern. Diese gesamte Software macht aber nur in Unternehmen Sinn und dort, die es auch wollen. In den USA (HP ist ein US-Unternehmen) ticken die Uhren anders und da wird es wohl angefragt.

      Man muss aber aufpassen, was man deistalliert. HP-Drucker (ich habe diese seit 1990 und bin zufrieden) brauchen HP-Framework. Jeder muss schauen, was wichtig ist und was er nicht braucht. In Unternehmensumgebung gibt der Administrator das vor. In einem Einzelunternehmen der "Einzel" und das bin ich.

  5. christian sagt:

    Ich habe hier mehrere HP ProBooks verschiedener Generationen in Betrieb. Was unter Windows 7 noch an Tools/Software nötig war: den Treiber bzw. das Tool für die Hotkeys. Unter Windows 10 konnte ich all das komplett weglassen, denn Windows 10 erkennt die Hotkey-Funktionen problemlos. Und für Updates ist es kein Hexenwerk auf der Supportseite von HP zum gewünschten Gerätemodell zu navigieren und sich ein Lesezeichen im Browser zu setzen. Einen Spitzenspezialassistenten braucht es dazu nicht um 1x/Quartal nach einem aktuellen BIOS zu suchen.

    • Mance sagt:

      @Supportseite von HP zum gewünschten Gerätemodell zu navigieren
      @nach einem aktuellen BIOS zu suchen

      Also, das habe ich jetzt mal gemacht. Unter vielem Anderem wird auch eines für das BIOS angeboten. Mein Rechner läuft eigentlich bisher problemlos. Ist es sinnvoll und vor allem ungfährlich das jetzt zu installieren? Wird bei einem Gesamtbackup (Acronis) auch das BIOS mitgesichert falls da was zerschossen werden sollte?

  6. christian sagt:

    Nein, bei einem Gesamtbackup mit beispielsweise Acronis wird das BIOS nicht gesichert. Gefährlich ist ein BIOS Update nicht, so lange man einige Regeln befolgt. Zum Beispiel sollte man während des Updates das Gerät nicht von der Stromversorgung trennen bzw. das Gerät nicht ausschalten.

    BIOS Updates sind immer dann sinnvoll wenn das Gerät Fehler aufweist oder Sicherheitslücken geschlossen werden sollen. Die meisten Hersteller stellen neben dem BIOS Update auch eine Historie bereit. Daraus kann man dann die Änderungen entnehmen. Beispielweise habe ich vor kurzer an einer DELL Workstation (Precision Tower 7920) ein BIOS Update durchführen müssen, weil die Lüftersteuerung für die Flex-Bay Lüfter alle 3-4 Neustarts einen der 4 Lüfter nicht erkennen wollte. Dadurch wurde deren DSA Tool aktiv und dann satte 10 Minuten lang das System gescannt um mir dann mitzuteilen, dass der Lüfter No. 2 nicht läuft; was aber so nicht gestimmt hat. DELLs Ratschläge, den entsprechenden Lüfter im BIOS zu deaktivieren, den Lüfter ganz vom System zu trennen und auch die gesamte Lüftersteuerung für die Festplattenkühlung im BIOS zu deaktivieren half bei diesem System nicht. Monate später erschien ein BIOS Update, welches neben einigen Sicherheitslücken für die beiden XEON Prozessoren auch Änderungen an der powercfg vorgenommen hatte. Seither funktioniert alles wie es soll.

    Ein weiterer Fall wäre zum Beispiel ein Upgrade. Man nutzt ein Mainboard mit einer INTEL oder AMD CPU und möchte ein Upgrade des Prozessors. Nicht selten ist ein Upgrade aber nur möglich, wenn man zuvor auf ein aktuell BIOS aktualisiert hat. Wenn man einen vorbildlichen Mainboardhersteller hat, dann reicht dieser regelmäßig entsprechende Updates nach, die die microcodes für die neuen Prozessoren ins BIOS implementieren. Beispiel: man setzt einen AMD Ryzen der ersten Generation ein und möchte einen Prozessor der aktuellen Generation als Upgrade einbauen. Dann ist es geschickt, sich vorher neben der Kompatibilitätsliste auch die Update-Historie im Bezug auf das BIOS auf der Internetseite des Mainboardherstellers anzusehen.

    Ein anderes Beispiel wäre der Arbeitsspeicher. Manche Mainboards kommen mit bestimmten RAM-Modulen nicht immer out of the box zurecht. Sei es wegen des Taktes oder den Timings. Oftmals hilft ein BIOS Update.

    Wie gesagt, wenn das System stabil läuft ist ein Update nicht zwingend erforderlich.

    • Dekre sagt:

      Ergänzung:
      Das BIOS-Update wird nicht auf der Festplatte installiert. Das BIOS ist im ROM auf dem Mainboard und hängt vom Prozessor ab. Es arbeitet unabhängig vom jeweiligen Betriebssystem. Das BIOS (Basic Input Output System) befindet sich auf dem ROM-Speicher des Motherboards.
      Tauscht man die Systemfestplatte aus, so bleibt die jeweilige Version des BIOS-Update erhalten.
      Man kann den PC auch ohne Systemfestplatte starten. Die BIOS-Version bleibt erhalten. Im BIOS kann man vorgeben von was das Betriebssystem geladen wird (Festplatte, USB-Port, DVD/CD).

      BIOS-Update aus Sicherheitsgründen sollte man immer installieren. Ansonsten hat @Christian schon was geschrieben.

      Man sollte immer die BIOS-Updates des Mainboard-Herstellers verwenden. Hier im Blogbeitrag von Günter geht es um HP, also HP und für das entsprechende PC-Modell. Befolgt man diese Regeln nicht und will ein BIOS für ein anderes Mainboard (Motherboard) -Modell installieren, so kommt Stimmung auf.

  7. Mance sagt:

    In der BIOS-Info steht "Bietet Unterstützung für Windows 10 v1909". Zudem ist die BIOS-Historie aufgeführt, so daß man ev. auch wieder auf ältere Versionen zurückgehen könnte.
    Da ich ein experimentierfreudiger Mensch bin, habe ich es getan und das BIOS geupdatet. Die Frage ist jetzt, ob es sinnvoll wäre ein neues Acronis Survival Kit zu erstellen (vielleicht merkt Acronis das beim nächsten Backup ggf. auch selbst)?

    Ich bedanke mich bei Euch für die Unterstützung :-)

  8. soisses sagt:

    Auf meinem HP AIO PC kann der Support Assistant (V.8.8.24.33) nicht deinstalliert werden. Kein Eintrag vorhanden. Beim Entfernen des HP Support Solutions Frameworks verlangt dieses aber, dass vorher der Assistant weg muss.
    Im Ordner: C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\
    gibt es eine UninstallHPSA.exe. Anklicken führt zu nix !!??
    Habe den Ordner umbenannt, der Service findet in aber auch dort.
    Dienst deaktiviert, Dateien auf andere Partition verschoben, jetzt erst ist Ruhe.

    • Dekre sagt:

      Das kann Probleme machen. Also HP Framework würde ich nicht löschen. Das kann wirklich Probleme machen. Ich hatte oben schon darauf hingewiesen. Ich kenne aber Dein PC nicht.
      Lad Dir mal den AdwCleaner von Malwarebytes runter. Der deinstalliert sog. vorinstallierte Software. Pass aber auf. Er setzt es sowieso erst einmal in die "Quarantäne". Du musst dann ja nicht
      auf "bereinigen" drücken. Kannst auch erst einmal nur so schauen und oder abwählen.
      Vorher solltes Du das Umbenennen rückgängig machen. Ist der Dienst gestoppt, so reicht das. Also Autostart und Dienst beides zusammen.

      Normalerweise kann man den HP Support Assistant über "Programme & Features" Win10 bzw. Win7 deinstallieren. Wenn das nicht geht musst Du mal in dem Forum von HP suchen.
      Ich möchte nur darauf hinweisen. Nur weil Jemand was gefunden hat, dass der HPSA eine Angriffslücke hat, heißt das nicht, dass Dein PC das erste Angriffsziel ist, sh. hierzu auch oben. Sonst war immer der "HP Softpaq Download Mananger" dran.
      Unabhängig davon habe ich das Gefühl, dass Einige den HPSA so richtig nicht kennen und damit auch selten nutzen. Das ist etwas ungünstig.

  9. Ärgere das Böse! sagt:

    Der HP Support Assistant hat Dreck am Stecken.
    Ich wollte das Zeug daran hindern, beim Systemstart mitzustarten. Im Autostart gibt es keinen Eintrag und in der Systemkonfiguration habe ich sowohl bei HP CASL Framework Service als auch bei HP Support Solutions Framework Service den Haken rausgenommen. Der Müll startet trotzdem mit dem Systemstart.

    Ich habe beides deinstalliert und mache jetzt einen Neustart.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.