{"id":223477,"date":"2019-10-12T00:34:00","date_gmt":"2019-10-11T22:34:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=223477"},"modified":"2024-08-23T22:30:01","modified_gmt":"2024-08-23T20:30:01","slug":"hp-touchpoint-analytics-schwachstelle-gefhrdet-pcs","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/10\/12\/hp-touchpoint-analytics-schwachstelle-gefhrdet-pcs\/","title":{"rendered":"HP Touchpoint Analytics-Schwachstelle gefährdet PCs"},"content":{"rendered":"

[English<\/a>]Auf den meisten HP-Rechnern ist die HP Touchpoint Analytics-Software vorinstalliert. Eine Schwachstelle erm\u00f6glicht Angreifern Administratorechte zu erlangen.<\/p>\n

<\/p>\n

\"\"HP TouchPoint Analytics ist eine Software, die auf den meisten HP-Computern in Form eines Windows-Dienstes vorinstalliert ist, der mit den Top-Level-Berechtigungen NT AUTHORITY\\SYSTEM\" ausgef\u00fchrt wird und dazu dient, Informationen zur Hardwareleistungsdiagnose anonym zu sammeln. Ich hatte bereits 2017 \u00fcber die HP Touchpoint Analytics-Software berichtet (siehe HP installiert heimlich HP Touchpoint Analytics Client-Telemetriedatenprogramm<\/a>). Damals gab es eine Stellungnahme von HP, dass das Sammeln von Telemetriedaten kein Problem sei.<\/p>\n

Schwachstelle in HP Touchpoint Analytics<\/h2>\n

Bleeping Computer berichtet hier<\/a>, dass in der Software eine Local Privilege Escalation (LPE) Schwachstelle gefunden wurde. Die Schwachstelle CVE-2019-6333<\/a> wurde in der Open Hardware Monitor-Bibliothek gefunden, die von der \u00dcberwachungssoftware von HP verwendet wird.<\/p>\n

CVE-2019-6333 erm\u00f6glicht es Angreifern, Malware \u00fcber die Ausweitung der Berechtigungen auf Systemebene auszuf\u00fchren und der Erkennung von Anti-Malware zu entgehen. Dazu kann sie das Whitelisting der Anwendung umgehen. Dieses Whitelisting wird h\u00e4ufig verwendet, um die Ausf\u00fchrung unbekannter oder potenziell sch\u00e4dlicher Anwendungen zu verhindern.<\/p>\n

Die Schwachstelle wurde vom Sicherheitsforscher Peleg Hadar von SafeBreach Labs entdeckt<\/a> und am 4. Juli an HP gemeldet. Sie betrifft alle Versionen des HP Touchpoint Analytics Client unter 4.1.4.2827. Das Problem ist der bereits h\u00e4ufiger hier im Blog angesprochene Suchpfad f\u00fcr DLLs, die ein DLL-Hijacking erm\u00f6glicht.<\/p>\n

Laut Hadar wird das Sicherheitsproblem durch die Verwendung eines unkontrollierten Suchpfades verursacht wird, und es wird nicht validiert, ob die geladenen DLLs mit digitalen Zertifikaten signiert sind. So kann eine Malware eine eigene DLL im Pfad ablegen und laden lassen. Die DLL enth\u00e4lt dann die System-Rechte des ladenden Diensts.<\/p>\n

Solche Fehler in der DLL-Suchreihenfolge werden h\u00e4ufig in der sp\u00e4teren Phase b\u00f6sartiger Angriffe ausgenutzt, nachdem die betroffenen Computer bereits infiltriert wurden. Diese Schwachstelle erm\u00f6glicht es, die Berechtigungen zu erh\u00f6hen, um Persistenz zu erlangen und ein kompromittierte System weiter zu infiltrieren.<\/p>\n

Sicherheitshinweis und Update verf\u00fcgbar<\/h2>\n

HP hat einen Sicherheitshinweis zum Erkennen, ob ein Ger\u00e4t anf\u00e4llig ist, ver\u00f6ffentlich und stellt ein Update f\u00fcr die HP TouchPoint Analytic-Software \u00fcber Windwos Update bereit. Der Sicherheitshinweise enth\u00e4lt Informationen, wie die Software aktualisiert werden kann. Ich pers\u00f6nlich w\u00fcrde die Software aber eher deinstallieren.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Auf den meisten HP-Rechnern ist die HP Touchpoint Analytics-Software vorinstalliert. Eine Schwachstelle erm\u00f6glicht Angreifern Administratorechte zu erlangen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-223477","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/223477","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=223477"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/223477\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=223477"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=223477"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=223477"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}