一位安全研究人员在HP Support Assistant中发现了多个漏洞,HP Support Assistant是2012年10月以后出售的所有HP计算机上预安装的实用程序。
该工具已预装在运行Windows 7,Windows 8和Windows 10的计算机上,受到十个漏洞的影响,其中包括五个本地特权提升漏洞,两个任意文件删除错误和三个远程代码执行错误。
启动后,该实用程序将开始托管“服务接口”,该接口向客户端公开超过250种不同的功能。安全研究人员Bill Demirkapi 解释说,合同接口公开给本地系统,客户端通过特定管道连接到本地系统。
执行一系列检查以验证客户端与接口的连接,以便最终允许客户端调用某些受保护的方法。研究人员说,尽管有缓解措施,但是HP Support Assistant在设计上是不安全的。
“这是因为诸如HP Web产品检测之类的核心组件依赖对服务的访问,并在非特权上下文中运行。事实是,在设计HP Service的当前方式下,该服务必须能够接收来自非特权进程的消息。只要无特权的流程能够与服务进行对话,总会有一种与服务进行对话的方式。”
研究人员发现,例如,攻击者可以将自己的恶意二进制文件放入系统分区上的特定文件夹中,并由具有系统特权的HP签名过程执行,即使签名验证失败也会执行下载的文件,并且攻击者可能会使用解密参数启动可执行文件,以将恶意有效负载写入系统上的任何位置。
此外,研究人员发现,在HP的特权进程的背景下,攻击者可以采用两种简单的方法删除计算机上的任何文件。
此外,Demirkapi发现可以滥用“ HP Download and Install Assistant”二进制文件来实现远程代码执行。为此,攻击者必须诱使受害者访问恶意网站,诱使程序下载DLL,或者获取名称中包含“ HP”或“ Hewlett Packard”的假公司的数字证书。
研究人员以负责任的方式向HP披露了所有漏洞,该公司推出了补丁程序,但似乎未能解决所有已确定的问题。研究人员说,实际上,为报告的漏洞而推出的初始补丁引入了新的漏洞。这家计算机制造商在三月下旬发布了新的修复程序。
据Demirkapi称,用户可以通过从计算机上完全删除HP实用程序来减轻它的安全风险。
“这可能不是每个人的选择,特别是如果您依靠软件提供的更新功能,但是,删除软件可以确保您免受应用程序中可能存在的任何其他漏洞的影响,”研究人员说。
Demirkapi总结道,也可以选择将应用程序更新到最新版本,但这仍然意味着三个本地的特权漏洞升级问题尚未解决。