Preinstalowane aplikacje OEM są dziurawe i stanowią zagrożenie

Kupujac nowy komputer lub smartfon często stykamy się z problemem licznego preinstalowanego przez producenta oprogramowania. System dołączany ze sprzętem nie stanowi problemu, często jest jednak spowolniony przez dodatkowe aplikacje – próbne wersje pakietów biurowych, antywirusów, narzędzi diagnostycznych i programów przeznaczonych do świadczenia zdalnej pomocy technicznej. Pół biedy, gdy jedynie spowalniają komputer. Sytuacja wygląda gorzej, jeżeli aplikacje te stanowią zagrożenie. Ostatnie odkrycie pokazuje, że i taki czarny scenariusz ma coraz częściej miejsce. Badacz Slipstream przeanalizował oprogramowanie dołączane do komputerów Lenovo, Della i Toshiby. W każdym z tych przypadków udało się znaleźć poważne podatności ułatwiające wykonanie ataku i przejęcie kontroli nad urządzeniem.

Lenovo - Wbudowany serwer www podatny na atak CSRF.

Zagrożenie jest poważne, bo dziurawe aplikacje są preinstalowane i wielu użytkowników nawet nie zdaje sobie sprawy z tego, że może je usunąć. W przypadku Lenovo chodzi o aplikację Lenovo Solution Center. Uruchamia ona proces LSCTaskService, który korzysta z pełnych uprawnień administratora i który uruchamia serwer webowy na porcie 55555. Następnie przyjmuje polecenia za pomocą żądań GET i POST, może wykonywać kod zlokalizowany w miejscu, do którego dostęp ma zwykły użytkownik – atakujący może go więc tam w jakiś sposób podrzucić (np. przekonując do tego użytkownika), a następnie uruchomić wykonywanie szkodliwego kodu.

Oprócz tego wspomniany proces jest narażony na atak typu CSRF – w efekcie wydawać komendy może w zasadzie każda odwiedzona strona internetowa. Podobnie wygląda sytuacja w przypadku Dell System Detect. Również to oprogramowanie może wykonywać polecenia z uprawnieniami administratora, a dziury w nim zawarte umożliwiają „podstawienie” mu szkodliwych aplikacji. Cyberprzestępca może więc najpierw przesłać nam teoretycznie nieszkodliwą, niewymagającą podwyższonych uprawnień aplikację, a następnie wykorzystać System Detect do zmiany działania i przejęcia kontroli nad całym komputerem. Tosbiha Service Station daje dostęp do całego rejestru na poziomie konta SYSTEM (najwyższe uprawnienia). Można je przejąć nawet z poziomu standardowego użytkownika, operację taką wykonać więc może szkodliwe oprogramowanie.

Najlepszym rozwiązaniem jest ręczna instalacja oprogramowania.

Użytkownicy posiadające komputery wymienionych firm powinni w miarę możliwości odinstalować wymienione aplikacje – producenci pracują już nad poprawkami. Przykłady te pokazują jednak, że komputer prosto ze sklepu sam w sobie może stanowić zagrożenie. Jeżeli pozwala nam na to czas i posiadana wiedza, warto samodzielnie przeinstalować system, pozbyć się preinstalowanego oprogramowania (i potencjalnie niebezpiecznych certyfikatów, jak te od Della i Lenovo), a następnie samodzielnie zainstalować jedynie niezbędne sterowniki i oprogramowanie wykorzystywane na co dzień.