Eine Software für Treiberaktualisierung, den Download neuer BIOS-Versionen, Fehlerbehebung und Tests zur Problemerkennung klingt zunächst nach einer sinnvollen Idee. Das hat man sich auch beim Computerhersteller HP gedacht und in diesem Geiste den "Support Assistant" entwickelt. Dieser gibt eine Übersicht über die Hardware des Rechners und beherrscht alle zuvor genannten Aufgaben.

Und er ist auf allen Geräten des Herstellers vorinstalliert – von Office-Rechnern über Multimedia-Notebooks bis hin zu den Systemen der hauseigenen Gaming-Marke Omen. Nun allerdings entpuppt sich die "Ab Werk"-Integration einmal mehr als Risikofaktor. Der Support Assistant brachte nämlich eine schwere Sicherheitslücke mit, die nun zeitgleich mit der Veröffentlichung eines Updates bekannt wurde.

DLL Hijacking

Diese trägt die Kennung CVE-2022-38395. Ihr Risiko-Score (CVSS) liegt bei 8,2 von 10, womit ihr "hohes" Gefahrenpotenzial bescheinigt wird. Diese Bewertung ergibt sich, grob erklärt, aus der Kombination des potenziell anrichtbaren Schadens und den Möglichkeiten, die Schwachstelle auszunutzen.

Im konkreten Fall machen sich Nutzer angreifbar, wenn sie das "Tune Up"-Werkzeug des Support Assistant starten. Dann kann ein Angreifer das System dazu bringen, eine manipulierte Programmbibliothek (DLL) im Verzeichnis der Software anstelle jener aus dem Windows-eigenen Ordner für Systemkomponenten zu laden. Windows priorisiert aus Kompatibilitätsgründen von Programmen mitgelieferte Varianten von DLL-Dateien während ihrer Ausführung, die Ausnutzung dieser Logik nennt sich auch "DLL Hijacking".

Wenn dies hier geschieht, läuft der bösartig eingeschleuste Code mit den Berechtigungen des Support Assistant. Und er operiert mit "System"-Rechten, also der maximalen Ausstattung. Das macht die Software zu einem attraktiven Ziel. Denn bereits eingeschleuste Malware, die von sich aus keine höheren Rechte anfordert und damit auch leichter unerkannt bleibt, lässt sich so auf Umweg mit maximalen Berechtigungen ausführen.

Update dringend empfohlen

HP hat bereits eine Aktualisierung veröffentlicht, mit der das Problem behoben wird. Wer den Support Assistant in Version 9 nutzt, sollte ihn einfach über den Microsoft Store updaten können. Wer noch Ausgabe 8 nutzt, dem wird dringend empfohlen, auf die neuere Ausgabe umzusteigen. Diese Möglichkeit sollte sich eröffnen, wenn man im Menü des Programms auf "Über" und anschließend auf "Auf Updates prüfen" klickt. Alternativ kann das Installationspaket für Version 9 auch von der HP-Website bezogen werden.

Es ist nicht das erste Mal, dass ein vom Hersteller auf vielen Geräten vorinstalliertes Werkzeug aufgrund einer Sicherheitsverfehlung zur Gefahr wird. Auch andere Firmen sorgten immer wieder einmal für Warnungen. Aber auch für die HP-Software ist der aktuelle Fall keine Premiere. (gpi, 8.9.2022)